SSLv3.0 プロトコルの脆弱性について(POODLE:プードル)

 SSLv3.0 プロトコルには、通信の一部が第三者に解読可能な脆弱性が存在します。 この脆弱性を利用した攻撃は一定の条件が必要になります。例えば攻撃対象に大量の通信を発生させるなどです。必要に応じて対策を実施することをオススメします。

対策

SSLv3.0 プロトコルの利用を無効化することで対策することが可能です。 ただし、利用するサービスによっては、SSLv3.0 を無効化することで一部のクライアントから接続できなくなる可能性があります。

例えば、Suversion(SVN)接続及び操作が出来るライブラリ「svnkit 1.3.5 (とそれ未満)」では、SSLv3のみ対応しているため、無効化により利用不可となります。

利用者向け(クライアント)対策

ご利用のブラウザの設定を変更します。SSLv3.0を無効化します。

ブラウザ説明URL
Internet ExplorerWindows で SSL 3.0 を無効にする方法マイクロソフトセキュリティアドバイザリ
FirefoxSSLv3.0を無効化バージョンの提供を計画しています。Mozilla Security Blog(English)
ChromeSSLv3.0を無効化を計画しています。This POODLE bites: exploiting the SSL 3.0 fallback(English)

英語のサイトですが、Internet Explorer / Firefox / Google Chrome の対策が説明されています。 http://tweaks.com/windows/67027/how-to-protect-ie-chrome-and-firefox-from-the-poodle-ssl-v3-exploit/

参考: IPA 情報処理推進機構「SSL 3.0 の脆弱性対策について(CVE-2014-3566)」
SSL 3.0 の脆弱性対策について(CVE-2014-3566) https://www.ipa.go.jp/security/announce/20141017-ssl.html



tracpath のセキュリティ対策

 エンタープライズ向けのtracpathは、常に最新のセキュリティパッチが適用されています。SSLv3 プロトコルの脆弱性も対策済み(2014-10-17)です。(tracpath の SSLv3 POODLE 脆弱性対応 (CVE­2014­3566))

本件に関するお問い合わせ先: info@tracpath.com までお願いします。

Comments are closed.