DEC
10
2014

POODLE脆弱性がSSL 3.0からTLS 1.0 / TLS 1.1に拡大

著者:Doug Beattie

このエントリーをはてなブックマークに追加

2014年10月15日、「お客様への重要なお知らせ」にてご報告した『SSL 3.0に関する脆弱性について (Padding Oracle On Downgraded Legacy Encryption)』では、SSL 3.0プロトコルにのみ影響があるとされていました。しかし、このたび一部のTLS 1.0 / TLS 1.1においても、SSLで保護されたウェブサイトとブラウザの間で、ハッカーの通信傍受や暗号解読が可能であることがわかりました。

TLSパケット内で利用されているパディング構成を適切にチェックしていない実装がされている場合、この脆弱性の影響を受けます。今のところ、F5ネットワークスとA10ネットワークスのロードバランサでTLS接続をハンドルしているウェブサイトで、この脆弱性が発見されています。
より技術的な知見はGoogleセキュリティエンジニアAdam Langleyの投稿『The POODLE bites again (08 Dec 2014)』をご確認ください。

何をすべき?

  • 1. the Qualys SSL LabsのSSL Server testを利用してご利用中のサーバに影響があるかをご確認ください。
  • 2.ベンダーから提供されたパッチを適用してください。F5はこちら、A10はこちらから取得できます。告知され次第、影響あるベンダーを追加で記載いたします。

注意:この脆弱性はご利用中のSSLサーバ証明書には何も影響がございません。現時点であらゆるSSLサーバ証明書の再発行、更新、再インストールは不要です。

新たな情報が公表され次第、当ブログを更新いたします。

このエントリーをはてなブックマークに追加

著者

Doug Beattie

Vice President of Product Management, GlobalSign

公式SNS フォローはこちら

RSSフィード

Facebook

Twitter

Youtube

グローバルサイン最新情報をお届け

グローバルサインライブラリー

グローバルサインのSSLサーバ証明書により運営者情報が認証されています。

SSLはグローバルサイン - © 2007-2016 GMO GlobalSign K.K. All rights reserved.