アカウント名:
パスワード:
> 状況からみて9日夜から侵入されていたと考えられるとのことだ。CVE-2014-0160 の問題は侵入しなくても、細工したパケットを投げれば良いのでは?
piyolog 三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみたhttp://d.hatena.ne.jp/Kango/20140419 [hatena.ne.jp]
に挙げられている一連の徳丸さんのツイートより。
https://twitter.com/ockeghem/statuses/457680470092693505 [twitter.com]
【続き】ということで、おそらく不正アクセスを検知した後、不正アクセスの起点のIPアドレスと期間を絞り込み、その期間そのIPアドレスからアクセスされた会員の人数を発表しているのだと推測しました。
つまり、・CVE-2014-0160 によるもの以外に実際に不正アクセスが存在していると思われる・CVE-2014-0160 による直接の被害範囲は不明だと思われるということではないかと。
OpenSSLのライブラリを読んでるプロセスのメモリを 64KBずつ読み込めるという問題だと認識してるんだけど、それで漏洩した情報のこんな詳細な項目が把握できるとは思えないんだけどなぁ。CVE-2014-0160をきっかけに、結果的に DBへのアクセスを許してしまったということなら納得できるけど。
実際どの程度の内容が取れるかは実際にやっていた攻撃者以外不明ではあるよね。
多分数字としては、秘密鍵が漏れた程度に想定して怪しい期間にアクセスしてきたすべてを対象としているんだろうけど。もっと少ない数字かもしれないし、もっと多い数字かもしれないし。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
本当に侵入されていたの? (スコア:0)
> 状況からみて9日夜から侵入されていたと考えられるとのことだ。
CVE-2014-0160 の問題は侵入しなくても、細工したパケットを投げれば良いのでは?
Re:本当に侵入されていたの? (スコア:5, 参考になる)
piyolog 三菱UFJニコスがOpenSSLの脆弱性を突かれて不正アクセスを受けた件をまとめてみた
http://d.hatena.ne.jp/Kango/20140419 [hatena.ne.jp]
に挙げられている一連の徳丸さんのツイートより。
https://twitter.com/ockeghem/statuses/457680470092693505 [twitter.com]
つまり、
・CVE-2014-0160 によるもの以外に実際に不正アクセスが存在していると思われる
・CVE-2014-0160 による直接の被害範囲は不明だと思われる
ということではないかと。
Re: (スコア:0)
OpenSSLのライブラリを読んでるプロセスのメモリを 64KBずつ読み込めるという問題だと認識してるんだけど、
それで漏洩した情報のこんな詳細な項目が把握できるとは思えないんだけどなぁ。
CVE-2014-0160をきっかけに、結果的に DBへのアクセスを許してしまったということなら納得できるけど。
Re: (スコア:0)
実際どの程度の内容が取れるかは実際にやっていた攻撃者以外不明ではあるよね。
多分数字としては、秘密鍵が漏れた程度に想定して怪しい期間にアクセスしてきたすべてを対象としているんだろうけど。
もっと少ない数字かもしれないし、もっと多い数字かもしれないし。
Re: (スコア:0)
この脆弱性が利用されたなら偶然でもパスワードを抜かれるケースは存在するはず