お客様各位
2014年10月20日
株式会社イーツ
【セキュリティ情報アナウンスメント】SSLv3に関する脆弱性「POODLE」について
平素より、イーツに格別のご愛顧を賜り、誠にありがとうございます。
既に一部報道でも伝えられていますように、「POODLE」と呼ばれるSSLv3を利用したセキュリティホールの情報が公開されています。
■Google社公開情報
http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html
■JVN(Japan Vulnerability Notes)
http://jvn.jp/vu/JVNVU98283300/index.html
SSLv3は、非常に古いプロトコルですが、Webブラウザ等では上位プロトコルでの通信が不可能な場合に、利用可能な古いプロトコルを利用する動作を行う場合があります。これによりSSLv3を利用させた上で、その脆弱性から暗号化したデータの一部を解読される可能性があります。本脆弱性では、サーバ及びクライアントの双方での対策が望まれますが、弊社ご利用のお客様を前提に下記では、サーバサイドの情報を記載しております。
本脆弱性の対策として、サーバにおいては、ご利用のSSLライブラリ等の情報をご確認の上、バージョンアップ等の対応をご検討下さい。2014年10月17日時点において、OpenSSLでは脆弱性に対する修正版の提供を開始しておりますが、CentOS 6.5で確認したところ、公式rpmレポジトリへの登録は未だされておりません。
■OpenSSL関連情報
https://www.openssl.org/news/vulnerabilities.html
対応済みバージョン
>Fixed in OpenSSL 1.0.1j 以降
>Fixed in OpenSSL 1.0.0o 以降
>Fixed in OpenSSL 0.9.8zc 以降
また、ライブラリの更新とは別に、各アプリケーションでSSLv3の利用を即座に停止する事も可能です。この方法は各アプリケーションで異なりますので、それぞれの情報をご確認下さい。ご参考までにapacheでは、設定ファイル中のSSLプロトコルの指定を以下のように変更することで対応可能です。
> SSLProtocol all -SSLv2
↓
> SSLProtocol all -SSLv2 -SSLv3
なお、SSLv3を停止する事で、SSLv3を前提とした機能に影響がある可能性がありますので、事前にご利用のアプリケーションの仕様をご確認下さい。あわせてredhat社ではHTTPS通信におけるSSLv3通信が可能な状態かを確認するシェルスクリプトを公開しています。
■redhat POODLE: SSLv3 vulnerability (CVE-2014-3566)
https://access.redhat.com/articles/1232123
本スクリプトをcheck.shとして作成した場合、以下のように利用可能です。
■SSLv3有効の場合
> ./check.sh localhost 443
> SSLv3 enabled
■SSLv3無効の場合
> ./check.sh localhost 443
> SSLv3 disabled
本件については、その内容を当社が保証するものではございません。内容を充分ご理解の上、お客様の責任においてご対応頂く必要がございます事をご理解下さいますようお願い致します。
イーツでは、今後もクラウドサービスを中心とした高品質データセンタソリューションのラインナップを日々拡充し、より多くのお客様にご満足いくサービスの提供を目指してまいります。引き続き、変わらぬご愛顧を賜りますようお願い申し上げます。
※【セキュリティ情報アナウンスメント】について
本件は、イーツの提供する各種サービスをご利用のお客様に、セキュリティ注意喚起の為、各種脆弱性の情報等を公開するものです。本文にてご紹介するセキュリティ脆弱性等が、必ずしもお客様のシステムに該当する訳ではございません。内容をご確認の上、対応の必要性等をご検討頂けますようお願い致します。
サービス企画部 石黒
電話: 03-3207-1255
E-mail: info@i2ts.com
