SSLv3.0プロトコルの脆弱性 (CVE-2014-3566)の影響と対処
SSLv3.0プロトコルの脆弱性 (CVE-2014-3566)
[本ドキュメントの対象となる製品]
- Asianux Server 3 for x86 (32bit)
- Asianux Server 3 for x86_64 (64bit)
- Asianux Server 4 for x86 (32bit)
- Asianux Server 4 for x86_64 (64bit)
[概要]
SSLv3.0 プロトコルに重大な脆弱性(通称 POODLE)が発見されました。
SSLv3.0 プロトコルを使用する可能性のあるアプリケーションを使用されている場合、中間者攻撃を行う攻撃者に平文のデータを取得される可能性があります。下記 [影響の有無の確認方法] を行い、影響のあるアプリケーションを使用している場合は、ただちに本ドキュメントの [解決方法] を行ってください。
[詳細]
SSLv3.0 プロトコル の仕様上の脆弱性 (CVE-2014-3566) に関する問題となります。
SSLv3.0 プロトコル は非決定的な CBC パディングを使用しており,パディングオラクル攻撃を使用することによって,中間者攻撃を行う攻撃者が平文のデータを取得しやすくなる脆弱性があります。
OpenSSL ライブラリをはじめ,Firefox,Apache HTTPd (httpd),などは現在主流の後継プロトコル TLSv1.x をサポートしています.通常,サーバ及びクライアントがともにTLS1.xをサポートしている場合にはTLS1.xが利用されます.しかし,相互接続性向上のために双方がSSLv3.0 もサポートしている場合,クライアントによってはTLS1.xの接続失敗後にSSLv3.xによる再接続を行うため,本脆弱性の影響を受けます。
[影響の有無の確認方法]
影響のある主なアプリケーション・ライブラリ
* Firefox, httpd, vsftpd, postfix, OpenSSL
OpenSSL につきましては、以下の対応表をご覧ください。
【対応表】
| 製品名 | Bash のバージョン | 本脆弱性の影響 |
|---|---|---|
| Asianux Server 3 | openssl-0.9.8e-31.AXS3未満のすべてのバージョン | あり |
| Asianux Server 4 | openssl-1.0.1e-30.AXS4.2未満のすべてのバージョン | あり |
[解決方法]
SSLプロトコルを使用している各アプリケーションで可能な限り SSLv3.0 を無効にしてください。OpenSSLを利用するアプリケーションでSSLv3.0を無効にできない場合には,OpenSSLパッケージを更新することにより,本問題の影響を限定できます。
[主なアプリケーションでの対処方法]
Firefox
- URL に about:config を入力し、設定画面を開きます。
- 検索フォームに "security.tls.version.min" を入力し、検索を行います。
- "security.tls.version.min" の行をダブルクリックし、1 を入力します。
httpd(mod_ssl)
/etc/httpd/conf.d/ssl.conf をエディタで開き、設定を行います。
以下は TLSv1.x を除いたプロトコルをすべて無効にする例となります。
SSLProtocol All -SSLv2 -SSLv3
なお、VirtualHostにて運用している場合、上記の設定が <VirtualHost> ディレクティブより先に評価されるように(<VirtualHost> ディレクティブより前に) 記述するか、各VirtualHostのディレクティブ内に記述しなくてはなりません。
httpd(mod_nss)
/etc/httpd/conf.d/nss.conf をエディタで開き、設定を行います。
以下は TLSv1.x を除いたプロトコルをすべて無効にする例となります。
NSSProtocol TLSv1.0,TLSv1.1
設定が終わりましたらサービスを再起動します。
# service httpd restart
vsftp
/etc/vsftpd/vsftpd.conf をエディタで開き、設定を行います。
以下は TLSv1.x を除いたプロトコルをすべて無効にする例となります。
ssl_enable=YES
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO
設定が終わりましたらサービスを再起動します。
# service vsftpd restart
postfix
/etc/postfix/main.cf をエディタで開き、設定を行います。
以下は TLSv1.x を除いたプロトコルをすべて無効にする例となります。
smtpd_tls_mandatory_protocols = !SSLv2, !SSLv3
smtp_tls_mandatory_protocols = !SSLv2, !SSLv3
設定が終わりましたらサービスを再起動します。
# service postfix restart
OpenSSL
1.パッケージのダウンロード
以下の URL からダウンロードすることができます。
Asianux Server 3
openssl-0.9.8e-31.AXS3
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3954
Asianux Server 4
openssl-1.0.1e-30.AXS4.2
https://tsn.miraclelinux.com/tsn_local/index.php?m=errata&a=detail&eid=3955
2.パッケージのアップデート
パッケージのテスト(依存関係のチェック)を行います。
# rpm -Uvh openssl-1.0.1e-30.AXS4.2.x86_64.rpm --test
上記でエラーが発生しなければ、以下コマンドでアップデートします。
# rpm -Uvh openssl-1.0.1e-30.AXS4.2.x86_64.rpm
[MIRACLE ZBX 及び Zabbixへの影響について]
現状判明してる影響および必要な対処等はありません。 Zabbix WebUI機能提供のために使用されているhttpdサーバについては 影響があるため、SSL通信を使用している場合は対処を行ってください。
なお、Zabbixのウェブ監視などのSSL通信を使用する機能があり、 Zabbixの実装ではSSL通信にlibcurlのみを使用していますが、 現状cURL(libcurl)の開発元は本脆弱性の影響はないとしています。 当社としては、開発元にあわせた対処を行うことを予定しています。
[参考 URL]
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
https://jvn.jp/vu/JVNVU98283300/index.html
[注意事項]
本ドキュメントは、各ソフトウェア開発元の情報およびマニュアル等を元にした参考情報です。
本ドキュメントの内容は、予告なしに変更される場合があります。
本ドキュメントは、限られた評価環境における検証結果をもとに作成しており、全ての環境での動作を保証するものではありません。
本ドキュメントの内容に基づき、導入、設定、運用を行なったことにより損害が生じた場合でも、弊社はその損害についての責任を負いません。あくまでお客様のご判断にてご使用ください。
[更新履歴]
2014年10月21日 新規作成
2014年10月22日 情報更新
2014年10月24日 VirtualHostディレクティブに関する記述を追加
2014年10月24日 MIRACLE ZBX 及び Zabbixへの影響に関する記述を追加