もう, “POODLE” 問題(つまり, CVE-2014-3566)には,対処した? OpenSSL のオフィシャルでも, OpenSSL Security Advisory [15 Oct 2014] が出てる。
サーバ管理者としては下記のことをやった。
今のところ, 1.0.1j でビルドされた Apache Lounge 版の Zip が手に入らないので, “SSL v3 goes to the dogs – POODLE kills off protocol” にあった回避策をやった。
httpd-ssl.conf に SSLProtocol All -SSLv3
を書き加えて, httpd.exe をリスタートした。やる前は, SSL Server Test で “This server is vulnerable to the POODLE attack. If possible, disable SSL 3 to mitigate. Grade capped to C” だったが,回避策後は, “This server is not vulnerable to the POODLE attack because it doesn’t support SSL 3” になった。実のところ,うちでは, Apache 2.4 と OpenSSL 1.0.1 を使っているので,うちの mod_ssl の場合, ‘SSLProtocol all’ は ‘SSLProtocol +SSLv3 +TLSv1 +TLSv1.1 +TLSv1.2’ ということになる。これは SSLProtocol Directive に記述がある。
ユーザとしては,ブラウザで SSLv3 を停めた。
やり方は,これも How to protect your browser にあった。英文だが,図もあってわかりやすい。日本語のサイトでは, IE, FireFox, Chrome の 3 つともの説明があるところを見つけられなかった。
追記(10/18):
PHP 5.6.1 —>> PHP 5.6.2 ChangeLog.
phpMyAdmin 4.2.9.1 —>> phpMyAdmin 4.2.10 ChangeLog.
「覚え書-#20。」への8件の返信
おはようございます。
なんだかんだといって仕事ありますね(笑)
CentOS5とCentOS6のバージョンをみましたら
該当製品になります。
red hatのセキュリティブログを見ると
https://access.redhat.com/articles/1232123
sslのv3の無効化を推奨してますね。
ということで確認red hatのスクリプトで確認
[root@www ~]# sh sslver3.sh
SSLv3 enabled
有効化なってますのでnginxで無効化
# vi /etc/nginx/nginx.conf
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
# nginx -t
#service nginx restart
[root@www ~]# sh sslver3.sh
SSLv3 disabled
http://httpd.apache.org/docs/2.4/mod/mod_ssl.html#sslprotocol
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols
ということで無効化。
会社のサーバーはdisabled or other errorになっていたんで特に対処しません。該当したのは私のサーバーのみでした。apacheも確認したかったんですけどね。
くりくりさん,おはようございます。
> なんだかんだといって仕事ありますね(笑)
本当に。 VMWare 上の CentOS6.5 では, disabled or other error になりました。まあこれは,サーバとして使っているわけではないので, Browser のほうだけ
security.tls.version.min = 1
にしておきました。しかし, disabled or other error の other error というのが気になります。実態はどうなっているのでしょうか。そういえば, Google のブログの This POODLE bites: exploiting the SSL 3.0 fallback に “In the coming months, we hope to remove support for SSL 3.0 completely from our client products.” という文言がありましたね。
こんにちは
改めて前の書き込み読むと変な日本語になってますね。(苦笑)
さて、CentOS6でパッケージのアップデータがきていました。
http://lists.centos.org/pipermail/centos-announce/2014-October/thread.html
CentOS5.6,7とアップデータがあります。
bash脆弱性の時はredhatのサイトから情報を取ってきましたが、今回はCentOSです。
パッケージのアップデータでは
red hatは見つけることができませんでした。
両方をうまく使い情報収集するのがいいのでしょう。
>今後数ヶ月の間に、当社のクライアント製品から完全に、SSL 3.0のサポートを削除したいと考えています。
chromeが影響するのかな?
なんかありましたら、鈴木さんのブログで追えると思います。
http://www.suzukikenichi.com/blog/
くりくりさん,こんにちは。
> red hatは見つけることができませんでした。
これは違いますか。Important: openssl security update
すでに,パッチが出てるみたいです。
やっぱ,素早いですね。
こんばんは
firefoxとchromeはsslv3をつかわなくなるみたいですね。
http://www.ipa.go.jp/security/announce/20141017-ssl.html
となるとTLSのみサポートになるのかな。sslという言葉もきえていきそうですね。
くりくりさん,おはようございます。
今回の騒ぎの最中に FireFox 33 が出たので, 34 から無効にするなら,前倒しで 33 からすればいいのに,なんて話も散見しました。 Chrome の SSLv3 を無効にする方法は,公式には出てませんが,本記事でリンクしたところに,オプション付きで起動する方法が載ってましたね。
> となるとTLSのみサポートになるのかな。
Google なんかは,前々から計画していたようですが,今回の騒ぎは,大義名分が立って好都合だと思っているのではないかと,勘ぐります。 SSLv3 の規格は古いですもんねぇ。
> sslという言葉もきえていきそうですね。
中身は変わっても,言葉だけは残るかもしれません。キーボードにいまだに,「PrintScreen」とか「SystemRequest」なんて言う言葉が残っているように。
おはようございます。
wordpressの方も大変そうですね・・・。
さて、記憶がないんだけど、
いつのまにかphp5.6.2になってました。
まぁいいや(笑)
>Google なんかは,前々から計画していたようですが
脆弱性発表したのはgoogleのセキュリティチームだったんですね。httpsのアルゴリズム導入に関係して意図的になんかやってる感じがしますね。
最近UFOの動画みてましたから陰謀論に毒されすぎですかね?(笑)
くりくりさん,こんばんは。
> wordpressの方も大変そうですね・・・。
PHP も Apache 上で動いてるわけですから, Apache の対処をきちんとしておけば,
curl_setopt( $handle, CURLOPT_SSLVERSION,
って,入れてなくても関係ないんでしょうかね。ユーザも私だけだし。いろいろ読めば読むほど,いらないのかもという気になってきてます。本家フォーラムで建てたトピックが,ちと,恥ずかしいナ。CURL_SSLVERSION_TLSv1);
> いつのまにかphp5.6.2になってました。
うちも元記事の追記でちらっと書いてますが, 18 日に上げました。で,その後, OPCache を有効にしてたんですよ。ずっと動いてたんですが, ChangeLog に何もないし php_opcache.dll も変わっているように見えないし,もしかしてまた同じ羽目になるかなとは思っていたのですが,本日, Bad host request をいただいてしまいました(涙)。今日はずっと留守にしてて全くタッチできなかったのですが,どうやら,午後 1 時ごろから, httpd.exe がまたまた必死で再起動を繰り返していたようです(カワイソ)。さっき,改めて OPCache を無効にしました。
> 最近UFOの動画みてましたから陰謀論に毒されすぎですかね?(笑)
グフッ!!