Googleは現地時間の10月14日、SSL 3.0の深刻な脆弱性「POODLE(Padding Oracle On Downgraded Legacy Encryptionの略)」の発見とその対策についてのアナウンスを行いました。
Googleをはじめ、Microsoft、OpenSSLなどが公式ブログなどでこの問題についての情報を公開しています。
▶︎Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
▶︎ISC Diary:OpenSSL: SSLv3 POODLE Vulnerability Official Release(pdf)
▶︎OpenSSL: SSLv3 POODLE Vulnerability Official Release - Internet Security
▶︎Microsoft Security Advisory:Vulnerability in SSL 3.0 Could Allow Information Disclosure
SSL 3.0は15年前の古いバージョンですが、多くのWebサイトで未だに同バージョンが使用されているとのことです。また、Webブラウザのほとんどは、HTTPSサーバのバグによってページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしているとのことです。
Googleは、システム管理者にWebサイトのSSLのバージョンの更新を強く勧めており、WebブラウザによるSSL 3.0のサポートを無効にするメカニズム「TLS_FALLBACK_SCSV」の公開及びこのメカニズムの採用を提案しています。
Googleでは、すでに2月から同社Webブラウザ「Chrome」と同社サーバに「TLS_FALLBACK_SCSV」を採用し、互換性の問題もなく使えているとのことです。
Mozillaは10月14日早々に、11月25日にリリース予定のFirefox 34でSSL 3.0のサポートを無効にすることを同社公式ブログMozilla Security Blog「The POODLE Attack and the End of SSL 3.0」で公表しています。また、同社ブログでは、Mozillaとミシガン大学の共同調査としてAlexaの上位100万ドメイン中の0.42%に上るドメインがSSL 3.0に依存していると述べています。
【SSL 3.0脆弱性「POODLE」】自分のPCの情報を守るために最低限やっておくこと
この話題は、Twitterでも多く取り上げられており、日本を含めた大問題になっており、混乱していることが伺えます。以下、 Twitterでのつぶやきをまとめてみました。
SSLv3終了のお知らせ https://t.co/oprK4BCV4H
— dynamis (でゅなみす@もじら) (@dynamitter) 2014, 10月 15
IEはインターネットオプションで、Fxはとりあえず https://t.co/Q55VJMHG8T で、Chromeは今日のアップデートで、ってとこか。
— K.Shirakata (@argrath) 2014, 10月 15
The POODLE Attack and the End of SSL 3.0 https://t.co/k3ZNjLqsd0 Firefox 34(2014/11/25リリース)でSSLv3無効を初期値に、Firefox 35でSCSVサポートする予定とのこと。
— かいと(kaito834) (@kaito834) 2014, 10月 15
SSL 3.0 will be disabled by default in Firefox 34, Mozilla said, with the change available shortly via Mozilla N... http://t.co/WrNoBUzTJH
— AnonymousUncensored (@TheMafiaJoe) 2014, 10月 15
@takemotonoriaki Firefox 34.0 では SSLv3 がデフォルトでオフになるらしい。
https://t.co/YvBZ0Xdk0Z
— Nick (@takemotonoriaki) 2014, 10月 15
alle mal SSLv3 mindestens im LieblingsBrowser deaktivieren, da unsicher
https://t.co/xqn2G37TsD
https://t.co/sSPQBDyC7E
— 137 (@number137) 2014, 10月 15
これを使ってFirefoxでSSL 3.0を無効化してみた https://t.co/fxpIagpvWt
— Takayuki KUSANO (@tkusano) 2014, 10月 15
はてなブログに投稿しました
IIS で SSL 3.0 を無効にする方法 - しばやん雑記
http://t.co/9RxOgQxNAq
— しばやん (@shibayan) 2014, 10月 15
Poodle Bug: Mozilla to Disable SSL 3.0 by Default in Firefox 34 http://t.co/njdnUPzhMM
— Dunya Patel (@DunyaPatel) 2014, 10月 15
新規アドバイザリ 3009008 の日本語ページを公開しました。「SSL 3.0 の脆弱性により、情報が漏えいが起こる」http://t.co/P6hZCCeOsr #JSECTEAM
— マイクロソフト セキュリティチーム (@JSECTEAM) 2014, 10月 15
@deHaller tienes razón, no lo tiene, veo que lo iban a implementar en la versión 34, pero se han echado para atrás https://t.co/wsgZNS39xh
— Sharker (@Sharker) 2014, 10月 15
Firefox に https://t.co/PQwMRo0M4A 入れるのと Java コントロールパネルから SSL 3.0 を使わないようにするってしておいた pic.twitter.com/VBABel5sZn
— debiru (@debiru) 2014, 10月 15
http://t.co/nZ5b798KXV インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法 #jazug #POODLE メモっと。
— Naoto MATSUMOTO (@naoto_matsumoto) 2014, 10月 15
Mozilla「Firefox 34」での対応がアナウンスされたこともあり、数多くのツィートで触れられています。また、現行の対応策も多くツィートされています。
Do the POODLE test https://t.co/HrBiqzr38F
and check if your browser is vulnerable for the ssl 3.0 security bug
http://t.co/Pk4x0yUDr0
— Stefan Borghys (@stefanborghys) 2014, 10月 15
現在使用しているブラウザが、SSL 3.0のセキュリティ・バグによって脆弱であるか確認できるサイト「SSLv3 Poodle Attack Check」も紹介されています。プードルが表示されたら“アウト”です。関連記事:
●【SSL 3.0脆弱性「POODLE」】自分のPCの情報を守るために最低限やっておくこと
0 件のコメント:
コメントを投稿