SSL通信の脆弱性 「POODLE」が発見され各種メディアに取り上げられており、IPA 情報処理推進機構にも情報が掲載されていました。
今回の脆弱性サーバとクライアントのSSL通信でSSL 3.0を使用している場合に通信内容が第三者から閲覧されてしまう可能性がある問題となっています。
IPA SSL 3.0 の脆弱性対策について(CVE-2014-3566)
www.ipa.go.jp/security/announce/20141017-ssl.html
Contents
チェックツールによる確認
◆シマンテックSSLチェックツール
ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
該当するかの確認方法は下記の、シマンテックSSLチェックツールでドメインを入力してチェックして、
「Your server may be vulnerable: SSLv3 is enabled」
と表示されると脆弱性に該当している可能性が極めて高いです。
OpenSSLコマンドによるSSL 3.0の確認方法
下記のコマンドを実行して確認することができます。
openssl s_client -ssl3 -connect [host]:[port]
コマンド例
$ openssl s_client -ssl3 -connect jp.globalsign.com:443
SSL 3.0が無効(POODLEの対象外)の場合は下記のようにエラーが表示されます。
SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number 40
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:
対応方法
◎OpenSSLをアップデートする
OpenSSL Projectから脆弱性の修正を含む下記のバージョンを公開しています。
* OpenSSL 1.0.1j
* OpenSSL 1.0.0o
* OpenSSL 0.9.8zc
◎サーバでSSLv3 を無効にする。
サーバもしくはクライアント、あるいはその両方で SSL v3 を無効にする。
SSL 3.0を無効にする設定例【Apacheの場合】
ssl.confにSSLv2とv3を使用しないように記述を追加します。
SSLProtocol all -SSLv2 -SSLv3
