CVE-2014-3566(aka POODLE)の対策


なにこれ…

脆弱性自体はGoogleの社員さんが見つけたみたいです。
脆弱性の細かい内容に関しては完全に把握していないのでリンク先とかGoogleさんに聞いてみてください。
POODLEという名前ですが、“Padding Oracle On Downgraded Legacy Encryption” の頭文字を取ってPOODLEと読むみたいです。

チェックサイト


対策 対策ぅ♪

具体的にどうすればいいか → SSL 3.0を無効化する
※SSL 3.0自体15年ほど前の産物で、その後TLS 1.2 (1.3は草案)へと続いています。

Apache 2.4 (サーバサイド)
SSLの設定ファイルを開きます。

$ sudo nano /etc/apache2/sites-available/example_com-ssl.conf 

SSLEngine On 以降に SSLProtocol All -SSLv3 を追記します。
SSL 2.0に関してはApache 2.4以降は標準で無効化されています。

<IfModule mod_ssl.c>
<VirtualHost *:443>
        ServerName  example.com:443
        ServerAdmin [email protected]

        DocumentRoot /home/server/www/exmaple.com
        <Directory />
                Options FollowSymLinks
                AllowOverride None
        </Directory>
        <Directory /home/server/www/exmaple.com/>
                Options Indexes FollowSymLinks MultiViews ExecCGI
                AddHandler cgi-script .cgi
                AllowOverride all
                Require all granted
        </Directory>

        ErrorLog ${APACHE_LOG_DIR}/ssl_error_example.com.log

        # Possible values include: debug, info, notice, warn, error, crit, alert, emerg.
        LogLevel warn
        CustomLog ${APACHE_LOG_DIR}/ssl_access_example.com.log combined

        SSLEngine on

        SSLProtocol All -SSLv3
        SSLCertificateFile    /etc/apache2/ssl/server.crt
        SSLCertificateKeyFile /etc/apache2/ssl/server.key
        SSLCertificateChainFile /etc/apache2/ssl/sub.class1.server.ca.pem
        SSLCACertificatePath /etc/apache2/ssl/
        SSLCACertificateFile /etc/apache2/ssl/ca.pem

        <FilesMatch "\.(cgi|shtml|phtml|php)$">
                SSLOptions +StdEnvVars
        </FilesMatch>

        BrowserMatch "MSIE [2-6]" \
                nokeepalive ssl-unclean-shutdown \
                downgrade-1.0 force-response-1.0

        BrowserMatch "MSIE [17-9]" ssl-unclean-shutdown
</VirtualHost>
</IfModule>

完了後に再起動

$ sudo service apache2 restart

Google Chrome (クライアントサイド)
起動引数に --ssl-version-min=tls1 を付与。

Google Chrome

Internet Explorer (クライアントサイド)
インターネットオプション -> 詳細設定 -> セキュリティ -> SSL 3.0 を使用する のチェックを外す。

Internet Explorer

最後に

人間が作成したものですし、完全なソフトウェアというのはあり得ません。
重大なバグが発覚した際に、様々なユーザが自ら進んでその脆弱性に対する対策をとれるようになれればいいな…とか思ってます。 実際は難しいですよね。

参考 :: SSL 3.0 を無効に設定する方法(POODLE対応) apache+mod_ssl, nginx - Qiita


comments powered by Disqus