2014年10月16日

【最近、多すぎやしないか?】SSL 3.0 脆弱性 POODLE!! (CVE-2014-3566)

ウチの嫁さんは大事なもの程、よく無くす。
今日は、プレゼントしたトートバックを無くされた・・・。
もう、誕生日プレゼントはチョコ棒100本とかにしてくれようか・・・ジャンボです。


またもや、重大な脆弱性が発表されましたね・・・。
SSLv3.0 脆弱性 POODLE (CVE-2014-3566)」!!

内容としては、
SSL通信の規格の一つである、SSL 3.0 について、
暗号化通信を行っているにもかかわらず、解読可能になるとのこと。

HTTPSサイトだから安心〜なんて思っていたら、
IDやパスワードが通信から丸見えだった。
なんて事がありえる訳です。

SSL 3.0 自体はかなり古いバージョンなので、
実際の通信で採用されるケースはあまりないとのことですが、
サーバ側で SSL 3.0 の通信もサポートしていた場合、
TLS(=SSL3.0の上位バージョンの様なもの)での通信になんらかの理由で失敗した場合、
SSL 3.0 での通信をリトライする仕様があるみたいで、この時に問題が表面化しそうです。
(上記仕様を悪用したツールもあるとかないとか・・・)

上記のリトライは普通にあり得るケースみたいで、
Microsoftの情報」を読み替える限りでは、数百に1回の頻度ではありえるかも。



この脆弱性、特定のミドルウェアの脆弱性ではなくて、
SSL の規格そのものの脆弱性なので、
SSL 3.0 のサポートを切る以外には対応策が無いという
悪魔の脆弱性です。



上記で "実際の通信で採用されるケースはあまりない" とありますが、
これはPCサイトに限られた話で、携帯サイトになると話が変わります。

携帯サイトといいますか、ガラケー向けサイトなんですけど、
SSL 3.0 までまでしかサポートしていない機種は最近の物でも色々あるんです。
(詳しくは各キャリアのサイトを参照ください)

キャリア側の対応は期待できないので、
お客様に買い替えてもらう以外に方法がない・・・。

うえぇぇぇ・・・・。



ちなみに、肝心の SSL3.0 のサポートを切る方法は、
Apacheの場合は下記の様に設定ファイルで明示的に指定すればOK。
(デフォルトは SSLProtocol all -SSLv2)

 SSLProtocol all -SSLv2 -SSLv3


じゃあ、IISは・・・

・・・
・・・・・・
・・・・・・・・レジストリの書き換えが必要です。


まぢか!?


posted by ジャンボ at 23:59| Comment(1) | TrackBack(0) | 雑記:PC | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
明日使う礼服も無くしてましたね〜(; ̄3 ̄)〜♪
しまむらで急遽買ったので2000円くらい貰えませんかねぇ、チラッチラッ
Posted by 嫁 at 2014年10月17日 00:32
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント:


この記事へのトラックバック