【IT】SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」
(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその
対策について発表した。
同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。
SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが
多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続でき
ない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。
この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの
個人情報を盗めるようになってしまうという。
Googleはシステム管理者はWebサイトのSSLのバージョンの更新を強く勧めている。
また、WebブラウザによるSSL 3.0のサポートを無効にするメカニズム「TLS_FALLBACK_SCSV」を
公開し、同メカニズムの採用を呼び掛けた。GoogleのWebブラウザChromeおよび同社のサーバは
既にこのメカニズムを2月から採用しており、互換性の問題もなく使えているとしている。
同日、Mozillaは11月25日にリリース予定のFirefox 34でSSL 3.0のサポートを無効にすると発表した。
Mozillaとミシガン大学の共同調査によると、Alexaの上位100万ドメインでSSL 3.0に依存している
のは0.42%に上るという。
http://www.itmedia.co.jp/news/articles/1410/15/news054.html
依頼 http://carpenter.2ch.net/test/read.cgi/liveplus/1411472043/
米Googleのセキュリティチームは10月14日(現地時間)、SSL 3.0の深刻な脆弱性「POODLE」
(Padding Oracle On Downgraded Legacy Encryptionの略でプードルと読む)の発見とその
対策について発表した。
同社はPOODLEのセキュリティアドバイザリーもPDFで公開した。
SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが
多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続でき
ない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。
この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの
個人情報を盗めるようになってしまうという。
Googleはシステム管理者はWebサイトのSSLのバージョンの更新を強く勧めている。
また、WebブラウザによるSSL 3.0のサポートを無効にするメカニズム「TLS_FALLBACK_SCSV」を
公開し、同メカニズムの採用を呼び掛けた。GoogleのWebブラウザChromeおよび同社のサーバは
既にこのメカニズムを2月から採用しており、互換性の問題もなく使えているとしている。
同日、Mozillaは11月25日にリリース予定のFirefox 34でSSL 3.0のサポートを無効にすると発表した。
Mozillaとミシガン大学の共同調査によると、Alexaの上位100万ドメインでSSL 3.0に依存している
のは0.42%に上るという。
http://www.itmedia.co.jp/news/articles/1410/15/news054.html
依頼 http://carpenter.2ch.net/test/read.cgi/liveplus/1411472043/
|
|
|
2 :Ψ:2014/10/16(木) 19:08:11.32 ID:TIUUnG6k0
その時俺はNoodleをすすっていた
3 :Ψ:2014/10/16(木) 20:14:10.08 ID:CO6Yb0Rvi
ワザとだよなあ
穴あけとるんや
穴あけとるんや
新しいバックドアが十分広まったんで古いのは廃棄処分か…
Das war also des Pudels Kern!
6 :Ψ:2014/10/17(金) 08:45:32.32 ID:I7jDf8dCO
auの携帯は特に注意
プードル?ポードル?ポーヂュル?
SSL3.0を使用してアクセスしていた税務署のe-taxや銀行などのシステムはどう対応するのだろうか
マイクロソフト セキュリティ アドバイザリ 3009008
ttps://technet.microsoft.com/ja-jp/library/security/3009008
SSL 3.0 の脆弱性により、情報漏えいが起こる
推奨するアクション
回避策の適用
・Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする
この脆弱性の影響を受ける SSL 3.0 プロトコルを無効にすることができます。これを行うには、Internet Explorer のセキュリティの詳細設定を変更します。
HTTPS リクエストに使用される既定のプロトコルのバージョンを変更するためには、次のステップを行います。
1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
2. [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
3. [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。
4. [OK] をクリックします。
5. 終了し、Internet Explorer を再起動します。
注:
警告: この回避策を適用した後、Internet Explorer は、3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、および TLS 1.2 をサポートしない Web サーバーに接続できなくなります。
ttps://technet.microsoft.com/ja-jp/library/security/3009008
SSL 3.0 の脆弱性により、情報漏えいが起こる
推奨するアクション
回避策の適用
・Internet Explorer で SSL 3.0 を無効にして、TLS 1.0、TLS 1.1、および TLS 1.2 を有効にする
この脆弱性の影響を受ける SSL 3.0 プロトコルを無効にすることができます。これを行うには、Internet Explorer のセキュリティの詳細設定を変更します。
HTTPS リクエストに使用される既定のプロトコルのバージョンを変更するためには、次のステップを行います。
1. Internet Explorer の [ツール] メニューの [インターネット オプション] をクリックします。
2. [インターネット オプション] ダイアログ ボックスの [詳細設定] タブをクリックします。
3. [セキュリティ] カテゴリで、[SSL 3.0 を使用する] チェック ボックスをオフにし、[TLS 1.0 を使用する]、[TLS 1.1 の使用]、および [TLS 1.2 の使用] チェック ボックスをオンにします (使用可能な場合)。
4. [OK] をクリックします。
5. 終了し、Internet Explorer を再起動します。
注:
警告: この回避策を適用した後、Internet Explorer は、3.0 までの SSL のみをサポートし、TLS 1.0、TLS 1.1、および TLS 1.2 をサポートしない Web サーバーに接続できなくなります。
The POODLE Attack and the End of SSL 3.0 | Mozilla Security Blog
ttps://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
SSL 3.0 の POODLE 脆弱性への対応について | Mozilla Japan ブログ
ttp://www.mozilla.jp/blog/entry/10433/
ttps://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
SSL 3.0 の POODLE 脆弱性への対応について | Mozilla Japan ブログ
ttp://www.mozilla.jp/blog/entry/10433/
11 :Ψ:2014/10/18(土) 14:51:43.14 ID:brkdlFFY0
>>6
あうはSSL3.0しか推奨していないのな
あうはSSL3.0しか推奨していないのな
e-Taxはまだアナウンスしていないが、サイトの暗号化の設定でSSL3.0を無効化してTLSに変更していた
日本年金機構はSSL3.0を停止したことをサイトでアナウンスしていたな
日本年金機構はSSL3.0を停止したことをサイトでアナウンスしていたな
SSL3.0でもRC4みたいなストリーム暗号だったら関係ない?