XML Encryptionの脆弱性 – 暗号解読できてしまう

ドイツの研究者がXML Encryptionの脆弱性を発表した記事。
XML Encryption Flaw Leaves Web Services Vulnerable – Security – Vulnerabilities and threats – InformationweekISO/IEC 19772
暗号文を書き換えてサーバーに送って、戻ってくるエラーを手がかりに暗号文を復号できる。
っていうから、実装の問題かと思ったら、XML Encryptionの仕様を変更しないといけないと言っている。
そりゃ大変だ。
元の平文の1バイトあたり平均14リクエストでこの攻撃が成り立つ由。
事前に連絡を受けた「XMLフレームワーク提供者」として、 Amazon.com, IBM, Microsoft, and Red Hat Linuxが挙げられている。
XMLフレームワークの代表的な提供者にアマゾンが出てくるんだ。
そのアマゾンはEC2で使っているSOAPの脆弱性を修正したと発表したとのこと。

Amazon Web Services ガイドブック クラウドでWebサービスを作ろう!
Jeff Barr (著), 玉川 憲 (監修), 株式会社クイープ (翻訳)
内容紹介
Amazon Web Servicesのエバンジェリストであるジェフ・バー氏自らが解説した「Host Your Web Site in the Cloud」の翻訳書がついに登場!
日本法人のエバンジェリスト玉川氏による監修・コードレビューも実施。
Amazon EC2、S3をはじめ、Amazon SQS、Auto Scaling、Amazon CloudWatch、Elastic Load Balancing、Amazon Simple DB、Amazon RDSなどの主要サービスを網羅。
Webコンソールの操作方法からサードパーティツールの紹介、各種APIを用いたコマンドラインでの設定手順など、AWSに関する幅広い内容をカバーした実用書です。2010年9月末にリリースされたばかりのSDK(AWS SDK for PHP)に完全対応したサンプルコードも無料公開中。

「XML Encryptionの脆弱性 – 暗号解読できてしまう」への1件のフィードバック

コメントを残す

メールアドレスが公開されることはありません。