トップ «前の日記(2014年10月14日) 最新 次の日記(2014年10月16日)» 編集

KeN's GNU/Linux Diary
... 料理とDebianと雑多な記録


2014年10月15日

_ [debian] SSL 3.0 POODLE脆弱性

要するに、皆もうほぼTLSプロトコルに移行してるのに、レガシーでいつまでも残してるSSL 3.0プロトコルにやっぱり妥当な時間で解読できる脆弱性がわかってしまったので、いろいろ攻撃方法は思いつきますよねということか。

基本的にクライアント側がしっかりしてもらわないといけないので、「SSLv3しか通信できないソフト、OS、端末は窓から捨てろ」を基本として、今後はブラウザはSSLv3はデフォルトオフの方向になる。

現状で不特定多数向けかつクリティカルなhttpsサービスというのはやっていないのでユーザーの危険回避に寄与できる気はしないけど、一応手持ちで起動しているApacheについてはSSLv3を無効にしてMITM攻撃は防ぐようにしておいた。

SSLProtocol All -SSLv2 -SSLv3

確認。

$ openssl s_client -ssl3 -connect サーバ:443
CONNECTED(00000003)
140079447545512:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3  alert handshake failure:s3_pkt.c:1258:SSL alert number 40
140079447545512:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl  handshake failure:s3_pkt.c:596:
---
no peer certificate available

http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566 には、Debian/Ubuntuでの各サービスのSSLv3排除手法のまとめがある。

_ [cooking] ボロネーゼパスタ


がっつり系。