SSL 3.0 の脆弱性 POODLE (CVE-2014-3566)

PUPPYアプリケーションパッケージ、PETやSFSなどのトラブル

モデレータ: 暇人, YoN, nyu

返信する
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

SSL 3.0 の脆弱性 POODLE (CVE-2014-3566)

投稿記事 by ふうせん Fu-sen. »

SSL の古いバージョン SSL 3.0 に脆弱性がある事が
Google セキュリティチームから10月14日に公開されました。
通常は「POODLE」(Padding Oracle On Downgraded Legacy Encryption)と名付けられています。
http://www.itmedia.co.jp/news/articles/ ... ws054.html
http://japan.cnet.com/news/service/35055155/
http://internet.watch.impress.co.jp/doc ... 71482.html

こちらが Linux 各所でも対応されてきていますので、
Puppy Linux に関連した情報をまとめておきます。

現在のところ次の対応が必要です。詳細はこの後にまとめます。
・OpenSSL を更新する
・使用ブラウザの SSL 3.0 を無効にする
・その他 SSL でアクセスするアプリケーションは対処方法が生じていれば実施

パピーリナックス日本語版での最新 Precise-571JP はデフォルト状態だった場合
今のところ OpenSSL の更新のみが行う必要がある手順です。
(ただし、他のセキュリティ問題で bash も更新が必要です)
最後に編集したユーザー ふうせん Fu-sen. [ 14/10/17(金) 19:08 ], 累計 2 回
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: SSL 3.0 の脆弱性 POODLE (CVE-2014-3566)

投稿記事 by ふうせん Fu-sen. »

(追加情報があった時のために、空白の投稿を加えています)
ふうせん Fu-sen. ( old: 2 8 6 )
ふうせん Fu-sen.
記事: 561
登録日時: 13/09/17(火) 10:01

Re: SSL 3.0 の脆弱性 POODLE (CVE-2014-3566)

投稿記事 by ふうせん Fu-sen. »

対処方法をまとめます。

-

OpenSSL
Ubuntu・Slackware・Debian は OpenSSL のパッケージが一度更新済みですが、
2015年1月に追加で更新が行われています。
次のところにまとめてあります。
viewtopic.php?p=20544#p20544

-

ブラウザでは SSL 3.0 を無効にします。

Opera 12 (Precise-571JP・おぺらっぴぃ など)
デフォルトで SSL 3.0 を無効化してありますので、設定を変更してなければ対処不要です。
Opera - 設定 - 設定詳細設定 タブ - セキュリティ 項目 - セキュリティプロトコル
「SSL 3 を有効にする」が外れている事を確認して下さい。

SeaMonkey (Precise-550JP・lupu-528JP など)
編集 - 設定 より プライバシーとセキュリティSSL の項目を選択し、
有効 にある「SSL 3.0」のチェックを外します

Firefox / Iceweasel
Firefox 34 より SSL 3.0 無効がデフォルトになっています。

Chromium / Google Chrome
公開から間もなく SSL 3.0 無効がデフォルトになっています。

ブラウザでの確認方法
https://www.poodletest.com/ で確認できます。ワンコが教えてくれます。
・Vulnerable! → 未対応
・Not Vulnerable! → 対応済み

-

Thunderbird
オプション - 詳細 - 一般 - 設定エディタsecurity.tls.version.min1 にします。

-

その他、Apache などのサーバで SSL 3.0 以前を無効にする対応が必要です。
Puppy では少ないと思いますが、公開サーバとしている場合ははやめに対処した方が良いでしょう。
公開によってサーバをターゲットとした攻撃が行われる可能性があるからです。
ふうせん Fu-sen. ( old: 2 8 6 )
返信する