SSLv3 POODLE脆弱性対応

2014/10/16 15:30 追記/編集しました

SSLv2/3に脆弱性が見つかりました。POODLEと呼ばれて対策が急がれています。
(CVE-2014-3566) (CVE-2014-3513/CVE-2014-3567/CVE-2014-3568)
ウェブサーバでは、SSLv3を利用しないように設定変更が強く推奨されます。

Apacheの設定では、mod_sslをインストールしてあれば
/etc/httpd/conf.d/ssl.confの内容を下記のように変更し、再起動を実施する必要があります。

SSLProtocol all -SSLv2 -SSLv3

対策出来たか簡単に調べる方法として、下記サイトからチェックする事ができました。
https://www.ssllabs.com/ssltest/analyze.html

続々とロードバランサを含めたネットワーク機器等でも対処法情報が出てくると考えます。
スカイアーチネットワークスでは対象の洗い出しを実施しつつ対応方法についての検討を実施しておりますため
お客様サーバにつきまして、今しばらくお待ちください。

AWSアナウンス

http://aws.amazon.com/jp/security/security-bulletins/CVE-2014-3566-advisory/?nc2=h_ls

下記サービスの対処方法が記載してありました。
1. Amazon Linux AMI (EC2)
現在、準備中のためパッチ等の情報はまた連絡があるとのことです
2. Amazon Elastic Load Balancing
SSLv3の無効化処理を上記リンク先を参考に実施します
3. Amazon CloudFront
独自のSSL証明書を利用している場合には、上記リンク先を参考にSSLv3の無効化処理を実施します。

10/15 19:30こちらのページを見つけました
https://alas.aws.amazon.com/ALAS-2014-426.html
新しくインスタンスを立てると、上記リンク先記載のバージョンとなることを確認しました。
changelog を見ると対応出来ているようですね、AWS対応早すぎです。

2014/10/16 下記よりも新しい openssl-1.0.1j-1.80.amzn1.x86_64 を確認しています。

# rpm -qa | grep openssl
openssl-1.0.1i-1.79.amzn1.x86_64

# rpm -q --changelog openssl-1.0.1i-1.79.amzn1.x86_64
* Wed Oct 15 2014 Cristian Gafton <gafton@amazon.com>
- add patch for CVE-2014-3566 (Padding Oracle On Downgraded Legacy Encryption attack)
...

# rpm -qi openssl-1.0.1i-1.79.amzn1.x86_64
Name        : openssl
Epoch       : 1
Version     : 1.0.1i
Release     : 1.79.amzn1
Architecture: x86_64
Install Date: Wed 15 Oct 2014 11:17:06 AM UTC
Group       : System Environment/Libraries
Size        : 3733137
License     : OpenSSL
Signature   : RSA/SHA256, Wed 15 Oct 2014 05:29:44 AM UTC, Key ID bcb4a85b21c0f39f
Source RPM  : openssl-1.0.1i-1.79.amzn1.src.rpm
Build Date  : Wed 15 Oct 2014 05:13:24 AM UTC
Build Host  : build-64002.build
Relocations : (not relocatable)
Packager    : Amazon.com, Inc. <http://aws.amazon.com>
Vendor      : Amazon.com
URL         : http://www.openssl.org/
Summary     : Utilities from the general purpose cryptography library with TLS implementation
Description :
The OpenSSL toolkit provides support for secure communications between
machines. OpenSSL includes a certificate management tool and shared
libraries which provide various cryptographic algorithms and
protocols.

マイクロソフトアナウンス

https://technet.microsoft.com/ja-jp/library/security/3009008

発表と対策

Redhat

  1. POODLE
    https://access.redhat.com/security/cve/CVE-2014-3566
  2. MemLeak
    https://access.redhat.com/security/cve/CVE-2014-3513
    https://access.redhat.com/security/cve/CVE-2014-3567
    https://access.redhat.com/security/cve/CVE-2014-3568

AWS

  1. POODLE
    https://alas.aws.amazon.com/ALAS-2014-426.html
  2. MemLeak
    https://alas.aws.amazon.com/ALAS-2014-427.html

わかりやすくまとまっている記事

Classmethod様
http://dev.classmethod.jp/cloud/aws/cve-2014-3566-poodle-issue/

askubuntu 各種ミドルウェアのコンフィグ変更方法も紹介されています
http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566

投稿者プロフィール

スカイブロガー

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


Time limit is exhausted. Please reload CAPTCHA.