SSL 3.0の脆弱性について
概要
暗号化通信で利用されるSSL 3.0に脆弱性(CVE-2014-3566)が発見されました。 サーバとクライアントの通信経路を不正に中継された上で、攻撃者が大量に攻撃通信を発生させた場合、暗号通信の一部を解読される恐れがあります。 この脆弱性は、POODLE(Padding Oracle On Downgraded Legacy Encryption)と呼ばれています。 この脆弱性に伴い、SSL 3.0を無効化し、TLSに移行することが推奨されています。 対応方法を以下に掲載致しますので、必要に応じて対応をお願い致します。 |
弊社機器の対応状況
NetStableにてSSL 3.0の通信開始を検出するシグネチャを作成致しました。
同一のアドレスにて短時間に数百回以上の検出があった場合、この脆弱性の影響を受けている可能性があります。 インターネットに接続できない環境にてご利用のお客様は、以下の作業手順とシグネチャファイルを参照して頂き、手動にて適用していただきますようお願い致します。 シグネチャ更新ファイル ダウンロードページ |
サーバ管理者の対応
サーバ管理者の方は、管理するサーバ上において、以下の対応を行ってください。
SSL 3.0 の脆弱性により、情報漏えいが起こる:マイクロソフト セキュリティ アドバイザリ 3009008 https://technet.microsoft.com/ja-jp/library/security/3009008.aspx
Red Hatの場合:httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566) – Red Hat Customer Portal ※SSL 3.0を無効化した場合、一部の旧OSとブラウザの環境や、一部携帯電話からのアクセスができなくなることが報告されています。 |
一般ユーザの対応
一般ユーザ、利用者の方は、ご利用のブラウザのSSL 3.0機能を無効にし、TLS機能を有効にすることが推奨されています。 ※SSL 3.0を無効化した場合、TLSに対応していないサイトへのアクセスができなくなります。 設定変更の詳細については、以下の情報処理推進機構(IPA)のページ等を参考にしてください。 SSL 3.0 の脆弱性対策について(CVE-2014-3566):IPA 独立行政法人 情報処理推進機構 |