SSLv3.0プロトコルの脆弱性 (CVE-2014-3566) の影響と対処
■SSLv3.0プロトコルの脆弱性 (CVE-2014-3566)の影響と対処
Asianux Server 3 for x86 (32bit)
Asianux Server 3 for x86_64 (64bit)
Asianux Server 4 for x86 (32bit)
Asianux Server 4 for x86_64 (64bit)
SSLv3.0 プロトコルに重大な脆弱性(通称 POODLE)が発見されました。
SSLv3.0 プロトコルを使用する可能性のあるアプリケーションを使用されている場合、中間者攻撃を行う攻撃者に平文のデータを取得される可能性があります。下記 [影響の有無の確認方法] を行い、影響のあるアプリケーションを使用している場合は、ただちに本ドキュメントの [解決方法] を行ってください。
SSLv3.0 プロトコル の仕様上の脆弱性 (CVE-2014-3566) に関する問題となります。
SSLv3.0 プロトコル は非決定的な CBC パディングを使用しており,パディングオラクル攻撃を使用することによって,中間者攻撃を行う攻撃者が平文のデータを取得しやすくなる脆弱性があります。
OpenSSL ライブラリをはじめ,Firefox,Apache HTTPd (httpd),などは現在主流の後継プロトコル TLSv1.x をサポートしています.通常,サーバ及びクライアントがともにTLS1.xをサポートしている場合にはTLS1.xが利用されます.しかし,相互接続性向上のために双方がSSLv3.0 もサポートしている場合,クライアントによってはTLS1.xの接続失敗後にSSLv3.xによる再接続を行うため,本脆弱性の影響を受けます。
影響のある主なアプリケーション・ライブラリ
* Firefox, httpd, vsftpd, postfix, OpenSSL
OpenSSL につきましては、以下の対応表をご覧ください。
【対応表】
-
製品名
OpenSSL のバージョン
本脆弱性の影響
Asianux Server 3
openssl-0.9.8e-31.AXS3未満のすべてのバージョン
あり
Asianux Server 4
openssl-1.0.1e-30.AXS4.2未満のすべてのバージョン
あり
SSLプロトコルを使用している各アプリケーションで可能な限り SSLv3.0 を無効にしてください。OpenSSLを利用するアプリケーションでSSLv3.0を無効にできない場合には,OpenSSLパッケージを更新することにより,本問題の影響を限定できます。
[主なアプリケーションでの対処方法]
* Firefox
1. URL に about:config を入力し、設定画面を開きます。
2. 検索フォームに "security.tls.version.min" を入力し、検索を行います。
3. "security.tls.version.min" の行をダブルクリックし、1 を入力します。
* httpd(mod_ssl)
/etc/httpd/conf.d/ssl.conf をエディタで開き、設定を行います。
以下は TLSv1.x を除いたプロトコルをすべて無効にする例となります。
SSLProtocol All -SSLv2 -SSLv3
なお、VirtualHostにて運用している場合、上記の設定が <VirtualHost> ディレクティブより先に評価されるように(<VirtualHost> ディレクティブより前に) 記述するか、各VirtualHostのディレクティブ内に記述しなくてはなりません。
* httpd(mod_nss)
/etc/httpd/conf.d/nss.conf をエディタで開き、設定を行います。
以下は TLSv1.x を除いたプロトコルをすべて無効にする例となります。
NSSProtocol TLSv1.0,TLSv1.1
設定が終わりましたらサービスを再起動します。
# service httpd restart
* vsftp
/etc/vsftpd/vsftpd.conf をエディタで開き、設定を行います。
以下は TLSv1.x を除いたプロトコルをすべて無効にする例となります。
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
設定が終わりましたらサービスを再起動します。
# service vsftpd restart
* postfix
/etc/postfix/main.cf をエディタで開き、設定を行います。
以下は TLSv1.x を除いたプロトコルをすべて無効にする例となります。
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
設定が終わりましたらサービスを再起動します。
# service postfix restart
* OpenSSL
1. パッケージのダウンロード
以下の URL からダウンロードすることができます。
Asianux Server 3
openssl-0.9.8e-31.AXS3
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3954
Asianux Server 4
openssl-1.0.1e-30.AXS4.2
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3955
2. パッケージのアップデート
パッケージのテスト(依存関係のチェック)を行います。
# rpm -Uvh openssl-1.0.1e-30.AXS4.2.x86_64.rpm --test
上記でエラーが発生しなければ、以下コマンドでアップデートします。
# rpm -Uvh openssl-1.0.1e-30.AXS4.2.x86_64.rpm
現状判明してる影響および必要な対処等はありません。 Zabbix WebUI機能提供のために使用されているhttpdサーバについては 影響があるため、SSL通信を使用している場合は対処を行ってください。
なお、Zabbixのウェブ監視などのSSL通信を使用する機能があり、 Zabbixの実装ではSSL通信にlibcurlのみを使用していますが、 現状cURL(libcurl)の開発元は本脆弱性の影響はないとしています。 当社としては、開発元にあわせた対処を行うことを予定しています。
[参考 URL]
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
2014年 10月21日 新規作成
2014年 10月22日 情報更新
2014年 10月24日 VirtualHostディレクティブに関する記述を追加
2014年 10月24日 MIRACLE ZBX 及び Zabbixへの影響に関する記述を追加