コンテンツ
セキュリティ情報
【重要】【更新】 Web通信などにおける暗号化形式 SSL 3.0 プロトコルに暗号化通信を解読される脆弱性
2014年10月17日(金曜日)掲載
■ 概要
SSL 3.0 プロトコルには,暗号で保護された内容を解読される可能性があります.この脆弱性(CVE-2014-3566)は,報告者により POODLE (Padding Oracle On Downgraded Legacy Encryption) と名付けられています.
この脆弱性に対応するため,利用者および Web 等の運用者の両者が対策する必要があります.
■対象
SSL 3.0 プロトコルを利用する暗号化通信.
Web ブラウザなどで,https://.... で通信する等の利用者
Web サーバ運用者
■対策
- Microsoft Windows
KB3009008 の「推奨するアクション」を参照して,SSL 3.0 を無効にしてください. - Google Chrome
最新の Google Chrome を使用してください.TLS からのダウングレードを防ぐ機能 TLS_FALLBACK_SCSV が提供されています. - Firefox
Firefox 34 (2014/11/25 提供予定) で SSL 3.0 が無効にされる予定です.
提供までのつなぎとして,アドオンソフト SSL Version Control を利用する方法もあります. - Open SSL
OpenSSL 1.0.1j, 1.0.0o, 0.9.8zc で,TLS からのダウングレードを防ぐ機能 TLS_FALLBACK_SCSV が提供されました.この機能により TLS をサポートするクライアントへの攻撃を防ぐことができます.
Web 運用者はサイトの設定を見直し,早急に SSL 3.0 を無効にされることをお勧めします.
使用している OS のベンダや配布元が提供する修正済みのバージョンに更新してください. - Red Hat, CentOS などの OS
それぞれの OS ベンダーの情報を確認ください.
■ 関連文書
Common Vulnerabilities and Exposures (CVE)
CVE-2014-3566
JVN.
JVNVU#98283300 SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)
Microsoft
KB3009008 SSL 3.0 の脆弱性により,情報漏えいが起こる
Mozilla Japan ブログ
TSSL 3.0 の POODLE 脆弱性への対応について
Opera software
Security changes in Opera 25; the poodle attacks
Google
This POODLE bites: exploiting the SSL 3.0 fallback
OpenSSL Project.
OpenSSL Security Advisory [15 Oct 2014]
ITmedia Inc.
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
お問い合わせ |
京都大学 情報部 情報基盤課 セキュリティ対策掛
電話番号:075-753-7490(内線7490) E-mail:i-s-officeiimc.kyoto-u.ac.jp お問い合わせフォーム |