現在位置: ホーム / セキュリティアップデート情報 / TLSプロトコルの脆弱性(CVE-2015-4000)の影響と対処

TLSプロトコルの脆弱性(CVE-2015-4000)の影響と対処

プロトコルの脆弱性(CVE-2015-4000)の影響と対処

[本ドキュメントの対象となる製品]

  • Asianux Server 4 for x86 (32bit)
  • Asianux Server 4 for x86_64 (64bit)

[概要]

TLS プロトコルに重大な脆弱性(通称 Logjam)が発見されました。
TLS 接続を行う可能性のあるアプリケーションを使用する場合、中間者攻撃により TLS 接続が暗号強度の低い輸出グレードの 512 ビット暗号に格下げされる問題があります。それにより、通信内容の盗聴や改ざんをされる可能性があります。

[詳細]

CVE-2015-4000 (通称 Logjam) は TLS プロトコルの仕様に関する脆弱性です。
DHE_EXPORT 暗号スイートがサーバで有効、かつクライアント側では無効の場合、DHE_EXPORT 暗号スイートが選択されたことをクライアントに適切に通知しませんでした。
そのため、中間者攻撃(man-in-the-middle-attack)により暗号アルゴリズムのダウングレード攻撃を実行される可能性があります。

[解決方法]

サーバ側

OpenSSL

  • 影響の有無の確認方法

openssl-1.0.1e-30.AXS4.9 未満のパッケージを利用している場合、影響を受ける可能性があります。

  • 解決方法

パッケージをアップデートしてください。

    1. パッケージのダウンロード
      以下の URL からパッケージをダウンロードしてください。

      openssl-1.0.1e-30.AXS4.9
      https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=4391
    2. パッケージのアップデート

パッケージの依存関係のテストを行ってください。

# rpm -Uvh openssl-1.0.1e-30.AXS4.9.x86_64.rpm --test

依存関係で問題なければアップデートしてください。

# rpm -Uvh openssl-1.0.1e-30.AXS4.9.x86_64.rpm

httpd

  • 影響の有無の確認方法

以下参考情報となりますが、以下の方法で対象の Web サーバが影響を受ける可能性があるか確認可能です。

    1. "Guide to Deploying Diffie-Hellman for TLS" (https://weakdh.org/sysadmin.html) のサイトヘお使いのブラウザでアクセスしてください
    2. "Server Test" 節の "Test A Server" へ確認したいサーバのアドレスを入力し "Go" ボタンをクリックしてください
    3. 表示される表内の "DHE_EXPORT" 列の内容が "Yes" となっている場合、影響を受ける可能性があります。
  • 解決方法

OpenSSL パッケージをアップデートしてください。やむを得ず、OpenSSL パッケージをアップデートすることができない場合は、httpd で利用する暗号スイートを限定してください。
以下の設定変更に関する情報は参考情報となります。

    1. 設定を変更する
      /etc/httpd/conf.d/ssl.conf をエディタで開き、以下の設定を行います。
  • SSLv2.x と SSLv3.x を無効にする
    • SSLProtocol 行に "-SSLv3" を追記してください
  • 利用する暗号アルゴリズムを限定する
    • SSLCipherSuite 行に "!EXPORT" (輸出グレード暗号を無効にする記述) を追記してください
  • 利用する暗号スイートをクライアント側ではなく、サーバ側で決定する
    • "SSLHonorCipherOrder" 行を有効 (on) として追加してください

設定例

SSLProtocol             all -SSLv2 -SSLv3

SSLCipherSuite HIGH:!aNULL:!MD5:!EXPORT

SSLHonorCipherOrder     on
なお、VirtualHost にて運用している場合、上記の設定が <VirtualHost> ディレクティブよりも先に評価されるように記述するか、各VirtualHost のディレクティブ内に記述する必要があります。
  • サービスの再起動

    • 設定が終わりましたら、サービスを再起動します。

    # service httpd restart

    クライアント側

    Firefox

    • 影響の有無の確認方法

    以下参考情報となりますが、以下の方法でブラウザが影響を受ける可能性があるか確認可能です。

      1. Firefox で "The Logjam Attack" (https://weakdh.org/) のサイトへアクセスしてください
      2. ページ上部に"Warning! Your web browser is vulnerable to Logjam ..."と表示されている場合は、影響を受ける可能性があります
    • 解決方法

    強度の弱い暗号スイートの利用を無効にしてください。

      1. ロケーションバー (URL 入力欄) に "about:config" を入力し、設定画面を開きます
      2. 検索フォームに "security.ssl3.dhe" と入力し、検索を行います。
      3. "security.ssl.dhe_rsa_aes_128_sha" と "security.ssl.dhe_rsa_aes_256_sha" の値を "true" から "false" にセットします

    [参考URL]

    Logjam: How Diffie-Hellman Fails in Practice

    https://weakdh.org/

    [注意事項]

    本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等に基づく参考情報です。
    本ドキュメントの内容は、予告なしに変更される場合があります。
    本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
    本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。

    [更新履歴]

    2015年05月21日 新規作成

    2015年6月12日 詳細と解決方法についての記述を追加