POODLE (1) SSL 3.0 プロトコル 脆弱性 (CVE-2014-3566)に関する情報

こんにちは。

グローバルソリューション事業部の吉村です。

 

先日 Google が公開した SSL の脆弱性  POODLE (Padding Oracle On Downgraded Legacy Encryption)  の対応についてご案内します。

 

今回は、SSL 3.0 プロトコルという現在利用される機会が少ないプロトコルをついた脆弱性です。

 

攻撃の手法が複雑で特殊な環境でないと影響は出ないため、

春先に出た heartbleed よりは脆弱性の深刻度が低いです。

 

詳細は、以下のIPAが公開している情報で確認できます。

SSL 3.0 の脆弱性対策について(CVE-2014-3566)

 

今回の対策としては、サーバ側だけでなく、クライアント側で SSL 3.0 を無効化 してしまうことで対処が可能です。

 

現在進行形でブラウザの開発元などが SSL 3.0 を無効化対応を進めているので、

クライアント側でセキュリティアップデートを行っていれば自然と解決する問題とも言えます。

 

その中でいくつかの記事出ている通り、SSL 3.0 を無効化した際に主に影響をうけるのは、フューチャーフォンのようです。

「SSL 3.0の無効化に伴うフィーチャーフォンへの影響」

フューチャーフォン向けのサイトの管理者様は各携帯キャリアの最新情報を見逃さないように注意が必要です。

 

 

そうは言っても、やはりクライアント側でなく、サーバ側で対応が必要だと判断されたお客様は、

クララオンラインのサーバをご利用のお客様で一般的な Apache + mod_ssl 構成をご利用の場合、

弊社での作業代行 も可能ですので、テクニカルサポートまでお問い合わせください!

テクニカルサポートへのお問い合せは こちら

TEL:0120-380-994 (平日10:00-18:00)

 

 

 

最後に、クララオンラインのサーバをご利用の方も、そうでない方も、ご自身で対応されるという方がいると思いますので、一般的な Apache + mod_ssl 構成で SSL 3.0 を無効にする設定例をご紹介します!

是非ご参考にしてください。

 

 

SSL 3.0 脆弱性に該当するかの確認手順

Linux環境より、以下コマンドの実行後、プロンプトに戻りコマンド入力を受け付ける状態になる場合は、SSL 3.0 が無効となっております。
SSL 3.0 が有効な場合は、プロンプトに戻らず入力を受け付けない状態になります。
Ctl+C を入力することでプロンプトに戻り、コマンド入力可能な状態に戻ります。

 

[実行コマンド]

$ openssl s_client -ssl3 -connect IPアドレス:対象ポート

 

[SSL 3.0 が無効な場合のコマンド例]

 

[SSL 3.0 が有効な場合のコマンド例]

 

 

対策方法

 

 

以上の対応で、Apache の443 ポートに対して SSL 3.0 プロトコルを無効化できるので、

再度、確認コマンドで無効化されたことを確認してください。

 

 

なお、ロードバランサのアプライアンスや、SSL アクセラレータとなる LB サーバ(リバースプロキシ)を

ご利用いただいておりますお客様につきましては、弊社にて順次対応を進めていますので、ご安心ください。

 

今回はここまでです!

引き続き情報のアップデートがあればお伝えしていきます。

 

 

Share on LinkedIn
LINEで送る
Pocket

吉村

吉村

クララオンライン グローバルビジネスストラテジー部でマーケティング担当として働いています。 クラウド関連技術と中国関連の情報をお届けしてます。 たまに DJ とかします。日本語RAPが大好きです。