ページ

2014-10-16

SSL 3.0に深刻な脆弱性「POODLE」見つかる・・・SSL3.0の脆弱性の対策

POODLE(Padding Oracle On Downgraded Legacy Encryption)という名前だそうで。

SSL3.0を有効にしているサイトとの通信において、クッキー情報が漏洩する可能性があるようです。
銀行系サイトが結構使っているようですね。
でも、実際のところ実害は出ないと思いますけどね。


クライアント側の対応
Internet Explorerの場合
「ツール」→「インターネット オプション」→「詳細設定」
の中の「SSL 2.0を使用する」「SSL 3.0を使用する」のチェックを外す。

Google Chromeの場合
最新に更新
Googleが見つけたようです。

Firefoxの場合
version34で対応するようなこと言ってて出るのは11月25日とかって遅くないかい?
で、対応策は、アドオンなので以下のリンクからインストール。

SSL version control

mozilaの資料
The POODLE Attack and the End of SSL 3.0 | Mozilla Security Blog

MacOS Safariは設定にあったかな?

Javaもやっとかないと
「コントロールパネル」→「Java」→「詳細」
SSL 3.0を使用するのチェックを外す
TLS1.0、1.1、1.2を使用するにチェックする。
そもそもJavaはオフだなw

チェックサイト
Qualys SSL Labs - Projects / SSL Client Test
以下のチェックサイトだとGoogle Chromeでやると脆弱(vulnerable)って出るけどチェックが対応してないだけのようです。上のやつもそうですね。
(追記:現在は対応してるようです。あれ?対応してないですなw)
SSLv3 Poodle Attack Check
Chromeでチェックする場合、楽天とかアマゾンにアクセスすればわかります。

サーバ側
Apacheの場合の無効設定
/etc/httpd/conf.d/ssl.conf
SSLProtocol all -SSLv2 -SSLv3

サイトがSSL3.0が有効か無効かの確認

# openssl s_client -ssl3 -connect www.example.com:443
SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 40 
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:
.....
New, (NONE), Cipher is (NONE)
Secure Renegotiation IS NOT supported
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : SSLv3
    Cipher    : 0000
    Session-ID:
    Session-ID-ctx:
    Master-Key:
    Key-Arg   : None
    Krb5 Principal: None
    PSK identity: None
    PSK identity hint: None
    Start Time: 1413427983
    Timeout   : 7200 (sec)
    Verify return code: 0 (ok)
---

なようなものがずらずらと出る。
一番上の2行が出てればOK

チェックサイト
Qualys SSL Labs - Projects / SSL Server Test
Java - SSL 3.0を受け付けているかを確認するツール作ったのでドヤ顔で公開する。 - Qiita




0 件のコメント :