【IT】SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明

このエントリーをはてなブックマークに追加
1GO ★
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明

米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」
(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその
対策について発表した。

同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。

SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが
多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続でき
ない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。

この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの
個人情報を盗めるようになってしまうという。

Googleはシステム管理者はWebサイトのSSLのバージョンの更新を強く勧めている。

また、WebブラウザによるSSL 3.0のサポートを無効にするメカニズム「TLS_FALLBACK_SCSV」を
公開し、同メカニズムの採用を呼び掛けた。GoogleのWebブラウザChromeおよび同社のサーバは
既にこのメカニズムを2月から採用しており、互換性の問題もなく使えているとしている。

同日、Mozillaは11月25日にリリース予定のFirefox 34でSSL 3.0のサポートを無効にすると発表した。
Mozillaとミシガン大学の共同調査によると、Alexaの上位100万ドメインでSSL 3.0に依存している
のは0.42%に上るという。

http://www.itmedia.co.jp/news/articles/1410/15/news054.html

依頼 http://carpenter.2ch.net/test/read.cgi/liveplus/1411472043/
2Ψ:2014/10/16(木) 19:08:11.32 ID:TIUUnG6k0
その時俺はNoodleをすすっていた
3Ψ:2014/10/16(木) 20:14:10.08 ID:CO6Yb0Rvi
ワザとだよなあ
穴あけとるんや
4Ψ:2014/10/16(木) 20:51:43.39 ID:K6/dcnNV0
新しいバックドアが十分広まったんで古いのは廃棄処分か…
5Ψ:2014/10/16(木) 21:58:50.91 ID:edBZQJrk0
Das war also des Pudels Kern!
6Ψ:2014/10/17(金) 08:45:32.32 ID:I7jDf8dCO
auの携帯は特に注意
7Ψ:2014/10/17(金) 09:30:53.55 ID:Lo9FNcHj0
プードル?ポードル?ポーヂュル?
8Ψ:2014/10/17(金) 17:14:49.23 ID:p9SjJYbU0
SSL3.0を使用してアクセスしていた税務署のe-taxや銀行などのシステムはどう対応するのだろうか
9Ψ:2014/10/17(金) 18:03:28.43 ID:SbhbreZS0
マイクロソフト セキュリティ アドバイザリ 3009008
ttps://technet.microsoft.com/ja-jp/library/security/3009008
SSL 3.0 の脆弱性により、情報漏えいが起こる
推奨するアクション
回避策の適用

・Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする
この脆弱性の影響を受ける SSL 3.0 プロトコルを無効にすることができます。これを行うには、Internet Explorer のセキュリティの詳細設定を変更します。
HTTPS リクエストに使用される既定のプロトコルのバージョンを変更するためには、次のステップを行います。
1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
2. [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
3. [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。
4. [OK] をクリックします。
5. 終了し、Internet Explorer を再起動します。

注:
警告: この回避策を適用した後、Internet Explorer は、3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、および TLS 1.2 をサポートしない Web サーバーに接続できなくなります。
10Ψ:2014/10/17(金) 18:06:37.34 ID:SbhbreZS0
The POODLE Attack and the End of SSL 3.0 | Mozilla Security Blog
ttps://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

SSL 3.0 の POODLE 脆弱性への対応について | Mozilla Japan ブログ
ttp://www.mozilla.jp/blog/entry/10433/
11Ψ:2014/10/18(土) 14:51:43.14 ID:brkdlFFY0
>>6
あうはSSL3.0しか推奨していないのな
12Ψ:2014/10/18(土) 18:39:25.09 ID:kk+T87Er0
e-Taxはまだアナウンスしていないが、サイトの暗号化の設定でSSL3.0を無効化してTLSに変更していた
日本年金機構はSSL3.0を停止したことをサイトでアナウンスしていたな
13Ψ
SSL3.0でもRC4みたいなストリーム暗号だったら関係ない?