こんにちは。スーパーソフトウエア東京オフィス 技術部の加藤です。今回は Windows 環境で OpenSSL をソースからビルドし、GCC (MinGW) から利用できる状態にするまでの手順をまとめます。 背景 Windows で OpenSSL を使う場合、多くの方は「事前ビルド済みバイナリ ...

SSL/TLSプロトコルを実装したオープンソースライブラリ「OpenSSL」の最新版「OpenSSL 3.0.0」が、9月7日に公開された。3年の開発期間、17回のアルファ版リリース、2回のベータ版リリース、7,500回以上のコミット、350人以上の開発者からの貢献を経てようやく ...

私等鍵と一緒に証明書を生成します。 この証明書は 365 日間有効です。 「openssl req -new」の目的と使い方 このコマンドは、CA (証明書管理者)に証明書を発行してもらうための証明書署名要求 (CSR)を作成するためのものです。 誰が実行するか SSL/TLS 証明書を取得したいウェブサイト運営者。 例 ...

「OpenSSL」の開発チームは、Windows環境における脆弱性についてアドバイザリをリリースした。影響は小さいとして、今後リリースするアップデートで修正する予定。 Windowsの64ビット環境で使用する「OpenSSL」において、メッセージ認証符号「POLY1305」の実装に ...

OpenSSLのPOLY1305 MAC実装には、64バイトを超えるデータのMACを計算するときに、Windows 64プラットフォーム上の不揮発性XMMレジスタの内容を保存しないため、呼び出し元に戻る前にすべてのXMMレジスタは以前の内容に復元されずゼロに設定されるため、呼び出し側アプリケーションに様々な影響を及ぼす可能性がある。

本ブログは、Awareness and guidance related to OpenSSL 3.0 – 3.0.6 risk (CVE-2022-3786 and CVE-2202-3602)の抄訳版です。最新の情報は原文を参照してください。 概要 マイクロソフトは、バージョン 3.0.7 で修正された、2022 年 10 月 25 日 (米国時間) に発表された最近の OpenSSL の ...

OpenSSL 1.0.2zl より前の 1.0.2系バージョン OpenSSLには、信頼できない値を用いて低レベルのGF (2^m)楕円曲線APIを使用すると、メモリの境界外読み取りまたは書き込みが発生する問題（CVE-2024-9143）があり、アプリケーションのクラッシュあるいはリモートコード実行が行われる可能性がある。