ページ

2014-10-15

【Twitterまとめ】SSL 3.0の深刻な脆弱性「POODLE(プードル)」について

Googleが発見したSSL 3.0の脆弱性POODLE(プードル)」は、悪用するとパスワードやクッキーにアクセスできてしまいます。問題の「SSL 3.0」は15年前のバージョンです。ただ、現在も多くのWebサイトで使用されており、またWebブラウザの多くでもサポートしています。


Googleは現地時間の10月14日、SSL 3.0の深刻な脆弱性「POODLE(Padding Oracle On Downgraded Legacy Encryptionの略)」の発見とその対策についてのアナウンスを行いました。

Googleをはじめ、Microsoft、OpenSSLなどが公式ブログなどでこの問題についての情報を公開しています。

▶︎Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
▶︎ISC Diary:OpenSSL: SSLv3 POODLE Vulnerability Official Release(pdf)
▶︎OpenSSL: SSLv3 POODLE Vulnerability Official Release - Internet Security
▶︎Microsoft Security Advisory:Vulnerability in SSL 3.0 Could Allow Information Disclosure

SSL 3.0は15年前の古いバージョンですが、多くのWebサイトで未だに同バージョンが使用されているとのことです。また、Webブラウザのほとんどは、HTTPSサーバのバグによってページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしているとのことです。

Googleは、システム管理者にWebサイトのSSLのバージョンの更新を強く勧めており、WebブラウザによるSSL 3.0のサポートを無効にするメカニズム「TLS_FALLBACK_SCSV」の公開及びこのメカニズムの採用を提案しています。

Googleでは、すでに2月から同社Webブラウザ「Chrome」と同社サーバに「TLS_FALLBACK_SCSV」を採用し、互換性の問題もなく使えているとのことです。

Mozillaは10月14日早々に、11月25日にリリース予定のFirefox 34でSSL 3.0のサポートを無効にすることを同社公式ブログMozilla Security Blog「The POODLE Attack and the End of SSL 3.0」で公表しています。また、同社ブログでは、Mozillaとミシガン大学の共同調査としてAlexaの上位100万ドメイン中の0.42%に上るドメインがSSL 3.0に依存していると述べています。

【SSL 3.0脆弱性「POODLE」】自分のPCの情報を守るために最低限やっておくこと

この話題は、Twitterでも多く取り上げられており、日本を含めた大問題になっており、混乱していることが伺えます。以下、 Twitterでのつぶやきをまとめてみました。














Mozilla「Firefox 34」での対応がアナウンスされたこともあり、数多くのツィートで触れられています。また、現行の対応策も多くツィートされています。

現在使用しているブラウザが、SSL 3.0のセキュリティ・バグによって脆弱であるか確認できるサイト「SSLv3 Poodle Attack Check」も紹介されています。プードルが表示されたら“アウト”です。



関連記事:
【SSL 3.0脆弱性「POODLE」】自分のPCの情報を守るために最低限やっておくこと


0 件のコメント:

コメントを投稿