2014年10月15日
_ [debian] SSL 3.0 POODLE脆弱性
要するに、皆もうほぼTLSプロトコルに移行してるのに、レガシーでいつまでも残してるSSL 3.0プロトコルにやっぱり妥当な時間で解読できる脆弱性がわかってしまったので、いろいろ攻撃方法は思いつきますよねということか。
基本的にクライアント側がしっかりしてもらわないといけないので、「SSLv3しか通信できないソフト、OS、端末は窓から捨てろ」を基本として、今後はブラウザはSSLv3はデフォルトオフの方向になる。
現状で不特定多数向けかつクリティカルなhttpsサービスというのはやっていないのでユーザーの危険回避に寄与できる気はしないけど、一応手持ちで起動しているApacheについてはSSLv3を無効にしてMITM攻撃は防ぐようにしておいた。
SSLProtocol All -SSLv2 -SSLv3
確認。
$ openssl s_client -ssl3 -connect サーバ:443 CONNECTED(00000003) 140079447545512:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1258:SSL alert number 40 140079447545512:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:596: --- no peer certificate available
http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566 には、Debian/Ubuntuでの各サービスのSSLv3排除手法のまとめがある。
[ツッコミを入れる]