zuntan02のはてなブログ

備忘録的なものです

【CVE-2014-3566】SSL 3.0 に関する脆弱性 (POODLE攻撃)

■個人的なまとめ
・サーバ/LB側でSSLv3はOFFにした方が良いが、SSLv3に依存した通信(imodeブラウザ1.0向けサイトとか)を行っていない限り、ただちに影響はない。

■ニュース記事

http://www.itmedia.co.jp/news/articles/1410/15/news054.html
GoogleSSL 3.0の脆弱性「POODLE」の発見と対策について説明

■概要
・多くのブラウザはTLSv1で接続できない場合にSSLv3でリトライする
・SSL3.0で通信していると、”パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。”
・自身のブラウザが対応しているかどうかは以下テストサイトで確認可能
 https://www.poodletest.com/
※基本的にSSLv3に関するオプションを設定からOFFにすれば回避は可能。


■該当端末に関する情報


SSLv3で問題になるフィーチャーフォンの対応 - Qiita


■サービス提供側の対策
・SSLv2同様、SSLv3を切る

例)AWS ELB
早速 ELBSecurity Policy-2014-10 (SSLv3をOFFにしたバージョン)が出ています。
[Load Balancers]-[Cipher]で[ELBSecurity Policy-2014-10]に変更して[save]。

例)Apache

# 設定ファイル編集
/usr/local/apache2/conf/extra/httpd-ssl.conf
-----
#   SSL Protocol support:
SSLProtocol all -SSLv2 -SSLv3
-----
# apache再起動

例)nginx

# 設定ファイル編集
vi nginx.conf
-----
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
-----

# 再読み込み
service nginx reload

■サポートされているSSL/TLSのバージョンの確認方法
http://alpha-netzilla.blogspot.jp/2011/02/ssltls.html

# 何も指定しない場合はtls1で通信する
openssl s_client -connect ssl.hoge.jp:443
>Protocol  : TLSv1

# 明示的に指定すればssl2.0でも通信可能
openssl s_client -connect ssl.hoge.jp:443 -ssl3
→ssl handshake failureになればOK
広告を非表示にする