SSL の古いバージョン SSL 3.0 に脆弱性がある事が
Google セキュリティチームから10月14日に公開されました。
通常は「POODLE」(Padding Oracle On Downgraded Legacy Encryption)と名付けられています。
http://www.itmedia.co.jp/news/articles/ ... ws054.html
http://japan.cnet.com/news/service/35055155/
http://internet.watch.impress.co.jp/doc ... 71482.html
こちらが Linux 各所でも対応されてきていますので、
Puppy Linux に関連した情報をまとめておきます。
現在のところ次の対応が必要です。詳細はこの後にまとめます。
・OpenSSL を更新する
・使用ブラウザの SSL 3.0 を無効にする
・その他 SSL でアクセスするアプリケーションは対処方法が生じていれば実施
パピーリナックス日本語版での最新 Precise-571JP はデフォルト状態だった場合
今のところ OpenSSL の更新のみが行う必要がある手順です。
(ただし、他のセキュリティ問題で bash も更新が必要です)
SSL 3.0 の脆弱性 POODLE (CVE-2014-3566)
-
- 記事: 561
- 登録日時: 13/09/17(火) 10:01
SSL 3.0 の脆弱性 POODLE (CVE-2014-3566)
最後に編集したユーザー ふうせん Fu-sen. [ 14/10/17(金) 19:08 ], 累計 2 回
ふうせん Fu-sen. ( old: 2 8 6 )
-
- 記事: 561
- 登録日時: 13/09/17(火) 10:01
-
- 記事: 561
- 登録日時: 13/09/17(火) 10:01
Re: SSL 3.0 の脆弱性 POODLE (CVE-2014-3566)
対処方法をまとめます。
-
OpenSSL
Ubuntu・Slackware・Debian は OpenSSL のパッケージが一度更新済みですが、
2015年1月に追加で更新が行われています。
次のところにまとめてあります。
viewtopic.php?p=20544#p20544
-
ブラウザでは SSL 3.0 を無効にします。
Opera 12 (Precise-571JP・おぺらっぴぃ など)
デフォルトで SSL 3.0 を無効化してありますので、設定を変更してなければ対処不要です。
Opera - 設定 - 設定 の 詳細設定 タブ - セキュリティ 項目 - セキュリティプロトコル で
「SSL 3 を有効にする」が外れている事を確認して下さい。
SeaMonkey (Precise-550JP・lupu-528JP など)
編集 - 設定 より プライバシーとセキュリティ 内 SSL の項目を選択し、
有効 にある「SSL 3.0」のチェックを外します。
Firefox / Iceweasel
Firefox 34 より SSL 3.0 無効がデフォルトになっています。
Chromium / Google Chrome
公開から間もなく SSL 3.0 無効がデフォルトになっています。
ブラウザでの確認方法
https://www.poodletest.com/ で確認できます。ワンコが教えてくれます。
・Vulnerable! → 未対応
・Not Vulnerable! → 対応済み
-
Thunderbird
オプション - 詳細 - 一般 - 設定エディタ で security.tls.version.min を 1 にします。
-
その他、Apache などのサーバで SSL 3.0 以前を無効にする対応が必要です。
Puppy では少ないと思いますが、公開サーバとしている場合ははやめに対処した方が良いでしょう。
公開によってサーバをターゲットとした攻撃が行われる可能性があるからです。
-
OpenSSL
Ubuntu・Slackware・Debian は OpenSSL のパッケージが一度更新済みですが、
2015年1月に追加で更新が行われています。
次のところにまとめてあります。
viewtopic.php?p=20544#p20544
-
ブラウザでは SSL 3.0 を無効にします。
Opera 12 (Precise-571JP・おぺらっぴぃ など)
デフォルトで SSL 3.0 を無効化してありますので、設定を変更してなければ対処不要です。
Opera - 設定 - 設定 の 詳細設定 タブ - セキュリティ 項目 - セキュリティプロトコル で
「SSL 3 を有効にする」が外れている事を確認して下さい。
SeaMonkey (Precise-550JP・lupu-528JP など)
編集 - 設定 より プライバシーとセキュリティ 内 SSL の項目を選択し、
有効 にある「SSL 3.0」のチェックを外します。
Firefox / Iceweasel
Firefox 34 より SSL 3.0 無効がデフォルトになっています。
Chromium / Google Chrome
公開から間もなく SSL 3.0 無効がデフォルトになっています。
ブラウザでの確認方法
https://www.poodletest.com/ で確認できます。ワンコが教えてくれます。
・Vulnerable! → 未対応
・Not Vulnerable! → 対応済み
-
Thunderbird
オプション - 詳細 - 一般 - 設定エディタ で security.tls.version.min を 1 にします。
-
その他、Apache などのサーバで SSL 3.0 以前を無効にする対応が必要です。
Puppy では少ないと思いますが、公開サーバとしている場合ははやめに対処した方が良いでしょう。
公開によってサーバをターゲットとした攻撃が行われる可能性があるからです。
ふうせん Fu-sen. ( old: 2 8 6 )