TLS certificate commands every infrastructure engineer should know: Generate a private key: openssl genrsa -out private.key 2048 Generate a CSR (Certificate Signing Request): openssl req -new -key private.key -out request.csr Generate self-signed certificate (testing only): openssl req -x509 -newkey rsa:2048 -keyout key.pem -out cert.pem -days 365 View certificate details: openssl x509 -in cert.pem -text -noout Check certificate expiration: openssl x509 -in cert.pem -enddate -noout Test a live HTTPS connection: openssl s_client -connect xyz.com:443 View remote certificate details: openssl s_client -connect xyz.com:443 -showcerts Verify a certificate against a CA: openssl verify -CAfile ca.pem cert.pem Convert certificate formats: openssl x509 -in cert.pem -outform DER -out cert.der Check what cipher and TLS version a site uses: openssl s_client -connect xyz.com:443 -tls1_2 If your certificates have ever expired in production without warning — bookmark this list.

【サイバーセキュリティ動向分析】 トレンドのセキュリティニュース（2026年6月14日時点） Anthropicが最新AIモデル（Fable 5 / Mythos 5）をオフラインに。輸出規制対応で外国人のアクセス制限。 thehackernews.com/ cyberscoop.com/us-government… ShinyHuntersがOracle PeopleSoftのクリティカル脆弱性を悪用し、教育機関などを標的にデータ窃取・恐喝。 thehackernews.com/ reuters.com/legal/government… security-next.com/185824 Arch Linux AURパッケージ400以上が乗っ取られ、infostealerとeBPF rootkitを配布するサプライチェーン攻撃。 thehackernews.com/ bleepingcomputer.com/ Chrome V8ゼロデイ（CVE-2026-11645）が野放しで悪用中。早急パッチ適用を。 thehackernews.com/ NPM 12で依存関係のスクリプト実行挙動変更、サプライチェーン攻撃防止強化。 securityweek.com/ CISAが複数Known Exploited Vulnerabilities（KEV）をカタログ追加。 cisa.gov/news-events/cyberse… OpenSSLに18件の脆弱性修正（AI発見の危険なもの含む）。 security-next.com/ Microsoft 6月パッチで過去最多198件脆弱性修正（ゼロデイ3件含む）。 japan.zdnet.com/security/ FBIが中国拠点の大規模サイバー犯罪ネットワーク摘発（被害19億ドル規模）。 cyberscoop.com/ サイバー保険料低下傾向も除外条項拡大、AI脅威対応の規制強化。 darkreading.com/

落とし所としては、Linux kernel筆頭に、OpenSSL/SSHなど防波堤になっているメジャー所に新モデルへの優先アクセスを付与する、となると予想。というか、これ以外なくないか？

OpenSSL is affected by CVE-2026-28386 (CVSS 9.1), an out-of-bounds read flaw in AES-CFB-128 on AVX-512 systems with VAES support that may cause application crashes (DoS). The issue is fixed in OpenSSL 3.6 and later. Read on: cti.wazuh.com/vulnerabilitie… #Vulnerability #Cybersecurity

update: the full liquidation loop is live on devnet. pyth streams sol mark price in real time. on startup, engine fetches all open positions from chain via getProgramAccounts. scanner wakes on every price tick and checks every position. when margin is breached, liquidator builds the transaction, signs it with ed25519 and submits it onchain. all in c. raw rpc calls, manual tx serialization, openssl signing. 149 compute units to liquidate. next: funding rates, websocket account subscription so the engine picks up new positions in real time without restart, and crank integration.

OpenSSL: Präparierte Signatur kann Weg für Schadcode ebnen | heise online heise.de/-11328258

OpenSSLの更新でdnfキャッシュ不整合が起きて依存解決に失敗したのでクリーニングして再更新。正常完了した。 昨今の情勢的にコンソールにエラー流れたのが見えるとドキッとする。 念のため状態確認。大丈夫そう。

PROJETO GLASSWING A GUERRA DIGITAL DO FUTURO JÁ COMEÇOU O Projeto Glasswing representa uma mudança histórica na segurança cibernética mundial. Pela primeira vez, algumas das maiores empresas de tecnologia do planeta estão utilizando modelos avançados de inteligência artificial para encontrar vulnerabilidades em sistemas críticos antes que grupos criminosos, estados hostis ou agentes de espionagem consigam explorá-las. O projeto foi criado pela Anthropic em parceria com Microsoft, Google, Apple, Amazon AWS, Cisco, NVIDIA, CrowdStrike e Linux Foundation. Anúncio oficial: anthropic.com/glasswing O objetivo é simples: Utilizar inteligência artificial para analisar o software que sustenta a internet global e descobrir vulnerabilidades críticas antes dos atacantes. A preocupação não é teórica. A própria Anthropic afirma que os modelos de IA estão evoluindo rapidamente para capacidades de pesquisa de vulnerabilidades que antes exigiam equipes inteiras de especialistas. Hoje a corrida já não é apenas entre empresas de segurança e hackers. A corrida passou a ser entre IA defensiva e IA ofensiva. -------------------------------------------------- O QUE É O CLAUDE MYTHOS? O coração do Projeto Glasswing é um modelo experimental chamado Claude Mythos Preview. Segundo a Anthropic, o modelo foi treinado especificamente para: • Encontrar vulnerabilidades desconhecidas • Auditar grandes bases de código • Identificar erros lógicos complexos • Descobrir falhas em sistemas operacionais • Encontrar problemas em navegadores • Analisar dependências open source Fonte oficial: anthropic.com/glasswing -------------------------------------------------- POR QUE ISSO É TÃO IMPORTANTE? Grande parte da internet depende de software open source. Linux. OpenSSL. FFmpeg. Bibliotecas de criptografia. Frameworks de desenvolvimento. Dependências utilizadas por milhões de servidores. Uma vulnerabilidade encontrada nesses componentes pode impactar governos, bancos, hospitais, telecomunicações e infraestruturas críticas em escala global. A Linux Foundation aderiu ao projeto exatamente por esse motivo. Fonte: linuxfoundation.org/blog/pro… -------------------------------------------------- O QUE O MYTHOS CONSEGUIU ENCONTRAR? Segundo a Anthropic, os resultados foram surpreendentes. O modelo encontrou vulnerabilidades em: • Todos os principais sistemas operacionais • Todos os principais navegadores modernos • Diversos projetos open source amplamente utilizados Além disso, identificou falhas que permaneceram ocultas durante anos mesmo após auditorias humanas e milhões de testes automatizados. Fonte: anthropic.com/glasswing -------------------------------------------------- O CASO FFMPEG Um dos exemplos apresentados pela Anthropic envolve o FFmpeg. FFmpeg é uma das bibliotecas multimídia mais utilizadas do planeta. Ela está presente em: • YouTube • Streaming • Softwares de edição • Sistemas corporativos • Aplicações de vídeo O Claude Mythos identificou uma vulnerabilidade que havia permanecido oculta apesar de milhões de execuções de testes automatizados. Fonte: anthropic.com/glasswing -------------------------------------------------- O CASO LINUX Outro caso citado envolveu o Kernel Linux. O modelo conseguiu combinar múltiplas vulnerabilidades individuais e construir uma cadeia de exploração completa capaz de escalar privilégios dentro do sistema. Em outras palavras: A IA não apenas encontrou uma falha. Ela compreendeu como várias falhas poderiam trabalhar juntas para comprometer completamente um ambiente. Fonte: anthropic.com/glasswing -------------------------------------------------- POR QUE O MYTHOS NÃO FOI LIBERADO AO PÚBLICO? Porque a própria Anthropic acredita que ele seria perigoso nas mãos erradas. O modelo consegue: • analisar grandes bases de código • identificar vulnerabilidades • encadear falhas • gerar hipóteses de exploração • sugerir correções A preocupação é simples. Se uma IA consegue encontrar vulnerabilidades em escala industrial para defender sistemas, ela também poderia ser utilizada para atacar sistemas. Por isso o acesso ao modelo foi restrito. Análise detalhada: techradar.com/pro/security/a… Cobertura adicional: itpro.com/technology/artific… -------------------------------------------------- A MUDANÇA DE PARADIGMA Durante décadas o principal desafio da segurança cibernética foi: ENCONTRAR vulnerabilidades. Com o avanço da IA, o problema está mudando. Agora o desafio está se tornando: CORRIGIR vulnerabilidades rápido o suficiente. Empresas participantes do projeto relataram que a IA encontra falhas numa velocidade superior à capacidade humana de correção. A descoberta deixou de ser o gargalo. O gargalo passou a ser remediação. Fonte: wsj.com/pro/cybersecurity/ai… -------------------------------------------------- O QUE ISSO SIGNIFICA PARA O FUTURO? O Glasswing talvez seja o primeiro vislumbre público de como será a próxima década da guerra digital. Antes: Humanos encontravam vulnerabilidades. Ferramentas auxiliavam. Agora: IAs encontram vulnerabilidades. Humanos supervisionam. No futuro próximo: IAs defensivas procurarão falhas. IAs ofensivas procurarão falhas. E a velocidade será medida em minutos, não em meses. A questão não é se isso acontecerá. A questão é quem chegará primeiro. -------------------------------------------------- CONCLUSÃO O Projeto Glasswing não é apenas mais uma iniciativa de segurança. É um sinal de que entramos oficialmente na era da inteligência artificial aplicada à guerra cibernética. E talvez a frase mais importante seja esta: O software que sustenta o mundo inteiro está prestes a ser auditado por máquinas. A mesma tecnologia que pode proteger a internet também pode ser usada para atacá-la. A próxima corrida armamentista não será nuclear. Será algorítmica.

【全ITインフラ担当者必見】OpenSSLのセキュリティアップデート、これヤバいです。 OpenSSLの開発チームが、18件もの脆弱性に対処するセキュリティアップデートをリリースしました。OpenSSLは、皆さんのウェブサイトのHTTPS通信はもちろん、VPN、メールサーバ、社内システムなど、インターネット上のあらゆる通信を暗号化する「土台」となっている技術です。 もしこの基盤に脆弱性が残っていれば、外部からの不正アクセスやデータ漏洩、サービス停止といった甚大な被害に直結します。以前のHeartbleedのような事態になれば、影響は計り知れません。見えない部分だからこそ、対策が遅れると致命的なダメージになりかねません。 今すぐやるべきことはこの3点です。 1. **自社システムの棚卸しとアップデート適用**：OpenSSLを使っているサーバや機器を洗い出し、最新版へ速やかにアップデートしてください。自社開発のアプリケーションやアプライアンス製品も要確認です。 2. **SaaSや外部サービスへの影響確認**：利用しているクラウドサービスやSaaSが、今回の脆弱性の影響を受けないか、ベンダーの情報を必ず確認しましょう。 3. **セキュリティ情報の継続的な収集**：OpenSSLのような基盤技術の脆弱性は今後も発生します。常に最新情報をウォッチし、迅速に対応できる体制を整えておくことが重要です。 こうした基盤部分のセキュリティは、サプライチェーン全体のリスクに直結します。地道なパッチ適用と情報収集が、結局は最強の防御策になることを忘れないでください。未来を見据えれば、パッチ管理の自動化やゼロトラストの思想も視野に入れるべきです。security-next.com/185705

Yeah, color me skeptical and a bit frustrated that we're using export control levers to limit model releases because someone found a workaround to one safeguard, ostensibly because there's substantial risk of discovered/discoverable vulnerabilities in key national security systems. There will always be risks of unknown vulnerabilities and we've long lived with these vulnerabilities; that an AI system could enable democratized discovery and exploitation of such vulnerabilities -- even for key subsystems like active directory or OAuth or OpenSSL -- is unlikely adequate justification *alone* to block model release. Not only do we need to be more resilient to 0-days, but we also just need to better calibrate the actual risks posed by computer network exploitation in general. This is not catastrophic risk category, we need to appreciate that we live with this risk already (whether or not it's manifest), we can't forefront risks that we ostensibly have measures to affect over those that are beyond our control, and we need to realize that most computer network exploitation, even against government systems, doesn't really affect national security and most prospective disruptive effects don't occur because they don't accrue benefits to the attacker. It seems like we've securitized decisionmaking here in a really uncalibrated way in part by simply misunderstanding the nature of operational cyber risk.

Haproxy, openssl

Alpine Linux 3.24.1 is out now with security fixes for OpenSSL.

I thought this was what the rpath hacking was for? I figured, the bottle is here ghcr.io/homebrew/core/ruby:3… why not install it? Is it because openssl is linked dynamically? Or is it because the deps are only in the api json and the api is unversioned?

Day 22 of #100DaysOfCode Learned hashing and digital signatures using OpenSSL. Generated MD5, SHA-256, and SHA-512 hashes Created a self-signed certificate Digitally signed a PDF document Verified signature integrity and authenticity