« 一人でわびしい夕食 | トップページ | 確認をきっちりしなかった言い訳っすよ »

2014年10月15日 (水)

SSL3.0の脆弱性「POODLE」の個人的メモ

Windows用です。
間違っているかもしれないので、その場合はツッコミなり正しい情報なり教えてください。
あと、ここにある情報は自己責任で。

まず、この脆弱性が何かの説明のサイト

Google、SSL 3.0の脆弱性「POODLE」の発見と対策について説明 - ITmedia ニュース
http://www.itmedia.co.jp/news/articles/1410/15/news054.html

この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。

同日、Mozillaは11月25日にリリース予定のFirefox 34でSSL 3.0のサポートを無効にすると発表した。

Chrome、SSL 3.0 やめるってよ - セキュリティホール memo
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2014/10.html#20141015_SSL3

Chrome は今日から SSL 3.0 へのフォールバックを無効化する。数か月後にはクライアント製品から SSL 3.0 のサポートを完全に削除したい。

ブラウザの設定で今回の問題の設定があるかのチェックサイト

SSLv3 Poodle Attack Check
https://www.poodletest.com/
Qualys SSL Labs - Projects / SSL Client Test
https://www.ssllabs.com/ssltest/viewMyClient.html

ユーザー側の対策としては、各ブラウザなどの設定を変更する必要があります

IE
法人の場合はマイクロソフトのグループ ポリシーで SSL 3.0 を無効を参照してください
マイクロソフトからまとめが公開されています

12月のWindows UpdateでIE11のSSL3.0へのフォールバックが無効にされました。
2015年2月11日(日本時間)からは既定で「保護されていないモードサイト」の設定で有効になる予定でそれまでは無効のようです。有効にするにはリンク先を参照してください。

IE11は2015年4月からSSL3.0を標準で無効化するようです
同ページ内には2/10の自動更新でIE11 SSL3.0フォールバックを無効化についての記述もあります

[POODLE 対策] 2015 年 4 月よりInternet Explorer 11 でSSL 3.0 を既定で無効化します - 日本のセキュリティチーム - Site Home - TechNet Blogs
http://blogs.technet.com/b/jpsecurity/archive/2015/02/12/poodle-ssl3-will-be-disabled-on-ie11-in-april-14.aspx
【セキュリティ ニュース】まもなく「IE 11」が既定で「SSL 3.0」を無効化へ(1ページ目 / 全1ページ):Security NEXT
http://www.security-next.com/057159


古いWindowsも基本的に同じ

SSL 3.0の脆弱性に関する基礎知識 - Windows 2000 Blog
http://blog.livedoor.jp/blackwingcat/archives/1878347.html

Chrome
最新版では一応対策してあるようですね。
セキュリティホール memoさんに書いてありました。見落としてたか。
>Chromeは2月からTLS_FALLBACK_SCSVをサポート。Chrome は今日から SSL 3.0 へのフォールバックを無効化する予定。
実験してみたところオプション付きにしておいた方がよさそうですね。おかげで仕事のスケジュールが詰まっていってるけど…
Opera24,25を試したところ、同じ方法が使えるようです
--incognitoはシークレットモードなので使わない場合はなしで--ssl-version-min=tls1のみでもかまいません

Chrome39でSSL 3.0へのフォールバック機能をデフォルトで無効化、40ではSSLv3のサポートを完全に廃止


Firefox
アドオンが出ています、インストールして標準設定のままでSSL3.0は無効化
Firefoxは有効の状態でも上記チェックサイトで”Not Vulnerable”と表示されるので注意を

12月公開のFirefox34にてSSL3.0は無効化されています。

SSL Version Control :: Add-ons for Firefox
https://addons.mozilla.org/ja/firefox/addon/ssl-version-control/
SSL 3.0 の無効化 : 日々の記録
http://blog.livedoor.jp/revo2013/archives/38170569.html

about:config で security.tls.version.min を 1 に変更する。

Opera12

「ツール」-「設定」-「詳細設定」-「セキュリティ」-「セキュリティプロトコル」-「SSL 3 を有効にする」のチェックを外す。
有効にしたままだと上記チェックサイトの画像が表示されません

Java

 


MacのChromeでPOODLE脆弱性対策(Automatorを使う) - 別館 子子子子子子(ねこのここねこ)
http://d.hatena.ne.jp/riocampos+tech/20141015/how_not_to_bite_poodle_on_mac_chrome

ちなみにMacでChrome39から64bit化しているので、古いMacではバージョンアップ出来ません。

「Google Chrome 39」でMac版が64ビットのみに--影響を受けるユーザーは - ZDNet Japan
http://japan.zdnet.com/article/35057090/

Apple製品の32ビットから64ビット切り替え時期は下記のようになっている。
「MacBook Pro」:2006年10月
「MacBook」:2006年11月
「iMac」:2006年9月
「Mac mini」:2007年8月
「MacBook Air」は64ビットで登場した。
2009年8月にリリースされた「Mac OS X 10.6」(開発コード名:「Snow Leopard」)が32ビットのIntelベースのMacをサポートする最後のOSとなる。Snow Leopardおよびそれ以前のユーザーは、セキュリティパッチが受けられないままChrome 38を利用し続けるか、32ビットをサポートする「Firefox」や「Opera」に乗り換えるしかない。

確認していませんがスマホ・タブレットのブラウザも影響があるかもしれないので、そのうち出ると思われるアップデートを推奨です。
スマホ・タブレットのOSのアップデートが打ち切られている場合は、標準のブラウザを利用せずに他のブラウザを利用することも考えておいてください。
特にAndroid4.3以前の標準ブラウザはサポートを終了していてChromeに切り替わっており、先月の脆弱性も放置されているので停止して使用しないことをお勧めします。

追記
Android4.0.4にてChrome,Firefox,Opera,Opera classic,Opera miniにてPoodletstにて動作チェックしたところ問題なし
Firefoxは"about:config"、Opera classicは"opera:config"にてTLSの競って変更画面を確認

トレンドマイクロがブログで回避策を公開しました

SSL 3.0 の脆弱性「POODLE 」とは?|トレンドマイクロ ブログ | トレンドマイクロ セキュリティ ブログ (ウイルス解析担当者による Trend Micro Security Blog)
http://blog.trendmicro.co.jp/archives/10112

Apple関係はアップデートを

Apple、OS X向けのセキュリティアップデート公開、SSL 3.0の脆弱性に対処 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1410/17/news104.html
Apple、iTunesやOS X Serverのセキュリティアップデートも公開 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1410/20/news030.html
AppleのiOS 8.1、SSL 3.0の脆弱性などを修正 - ITmedia エンタープライズ
http://www.itmedia.co.jp/enterprise/articles/1410/21/news041.html

こちらにマニュアルでSafariの変更方法がありますね。
Macユーザーじゃないので確認できていないですが参考にどうぞ。

歌うキツネ : 各種ブラウザの SSL 3.0 プロトコル を無効にする
http://utaukitune.ldblog.jp/archives/65817998.html

ガラケーの対応状況はこちら
ガラケー - SSLv3で問題になるフィーチャーフォンの対応 - Qiita
http://qiita.com/harukasan/items/dee779c0a3f624758230

Yahoo!ウォレットによるとPSPやPS3などの家庭用ゲーム機は対応してないようですね
【重要】SSL3.0の脆弱性に対する対応について - お知らせ - Yahoo!ウォレット
http://notice.yahoo.co.jp/wallet/archives/ssl30.html

マカフィーでSSL3.0が再有効化することがあるようです
マカフィー製品をご利用中にSSL3.0が有効化される事象について
http://service.mcafee.com/FAQDocument.aspx?lc=1041&id=TS102200
マカフィー for ZAQご利用環境におけるSSL3.0トラブルについて
http://information.myjcom.jp/notice/1458.html?catv=1501&brand=

色々なSSLv3を停止する方法をまとめたサイトがありました。

Disable SSLv3
http://disablessl3.com/

2/17にページを確認したところマカフィーのアップデートで修正されているようです。
いつ修正したんだろう…

タグをミスしていたのを修正
スマホ等に関する記述を追加

10/16 数行追加

Chromeに関する記述を訂正をさらに訂正

10/28 ガラケーとゲーム機に関する記述を追記

10/31 Chromeの予定とマイクロソフトのまとめについて追記

11/10 マカフィーについて追記

12/11 IE,Firefox,Mac Chromeについて追記

12/12 IE11について追記・修正

2/12 IE11のSSL3.0を規定で無効化について追記

8/ 9 Disable SSLv3を追記

« 一人でわびしい夕食 | トップページ | 確認をきっちりしなかった言い訳っすよ »

情報セキュリティ」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« 一人でわびしい夕食 | トップページ | 確認をきっちりしなかった言い訳っすよ »