OpenSSL は先日の Heartbleed Bug の件もさめやらぬ感じですが、今度は MITM 攻撃につながる脆弱性が見つかったと騒ぎになっています。
既にパッチは公開されているので、先日 Heartbleed の対応をした人は素直にアップデートをすれば良いと思います。

さて、今回のCVE-2014-0224 がちょっと興味深いのはこれが日本の会社の日本人に発見されたということ。そしてこのバグが OpenSSL の最初のリリースから16年にわたって存在し続けていたということです。発見の経緯は発見者自らが解説しているページがありますので、１度目を通してみるとおもしろいと思います。だれも検証しようと思わなかったんでしょうね。

• OpenSSL #ccsinjection Vulnerability
• CCS Injection脆弱性(CVE-2014-0224)発見の経緯についての紹介 - 株式会社レピダム

† 参考

• IIJ Security Diary: OpenSSL の Man-in-the-middle 攻撃可能な脆弱性の影響
• 「OpenSSL」における Change Cipher Spec メッセージ処理の脆弱性対策について(JVN#61247051)：IPA 独立行政法人 情報処理推進機構
• JVN#61247051: OpenSSL における Change Cipher Spec メッセージの処理に脆弱性
• OpenSSL Security Advisory [05 Jun 2014] SSL/TLS MITM vulnerability (CVE-2014-0224)
• CVE - CVE-2014-0224

元々は HDD の中身を人に見せて「こんな風にディスクが入ってて回転するんだよ」と説明するためだけに買ったトルクスドライバーセットでしたが、思わぬところでThinkPad の修理に役立ったのでメモ。

• TK-021【31 in 1トルクスドライバーセット】ドライバーからトルクス、六角まで31種類に対応したコンパクトに収納できるトルクスドライバーセット。 - サンワサプライ株式会社

ThinkPad はプラスのドライバーがあれば大半の部品交換を行うことができますが、シャーシからマザーボードを外すには VGA ポート脇にあるコネクタの抜け止めのねじを外さなければなりません。そのためには小さな六角のボックスレンチが必要なのですが、おそらく普通の工具箱にはまず入っていないサイズです。ラジオペンチなどで無理矢理外すこともできますが、やはりきちんとしたレンチを使うと安心感が違います。ねじを壊す心配もありませんしね。

ちなみにHDD を分解するのに必要になるトルクスは T8H もしくは T6H というサイズです。