1. POODLE脆弱性がSSL 3.0からTLS 1.0 / TLS 1.1に拡大

POODLE脆弱性がSSL 3.0からTLS 1.0 / TLS 1.1に拡大

  • このエントリーをはてなブックマークに追加

2014年10月15日、「お客様への重要なお知らせ」にてご報告した『SSL 3.0に関する脆弱性について (Padding Oracle On Downgraded Legacy Encryption)』では、SSL 3.0プロトコルにのみ影響があるとされていました。しかし、このたび一部のTLS 1.0 / TLS 1.1においても、SSLで保護されたウェブサイトとブラウザの間で、ハッカーの通信傍受や暗号解読が可能であることがわかりました。

TLSパケット内で利用されているパディング構成を適切にチェックしていない実装がされている場合、この脆弱性の影響を受けます。今のところ、F5ネットワークスとA10ネットワークスのロードバランサでTLS接続をハンドルしているウェブサイトで、この脆弱性が発見されています。
より技術的な知見はGoogleセキュリティエンジニアAdam Langleyの投稿『The POODLE bites again (08 Dec 2014)』をご確認ください。

何をすべき?

  • 1.the Qualys SSL LabsのSSL Server testを利用してご利用中のサーバに影響があるかをご確認ください。
  • 2.ベンダーから提供されたパッチを適用してください。F5はこちら、A10はこちらから取得できます。告知され次第、影響あるベンダーを追加で記載いたします。

注意:この脆弱性はご利用中のSSLサーバ証明書には何も影響がございません。現時点であらゆるSSLサーバ証明書の再発行、更新、再インストールは不要です。

新たな情報が公表され次第、当ブログを更新いたします。

  • このエントリーをはてなブックマークに追加

この記事を書きました

Doug Beattie

Doug Beattie
所属:Vice President, Product Management, GlobalSign Inc.
>>Doug Beattieの記事一覧