OpenSSL
Severity Highのバグフィックスの他、プロトコルをダウングレードする攻撃
(Severity Middle)に対して TLS_FALLBACK_SCSV がサポートされた次の
OpenSSLバージョンにアップグレードする。
OpenSSL 1.0.1 → 1.0.1j.にアップグレード
OpenSSL 1.0.0 → 1.0.0o.にアップグレード
OpenSSL 0.9.8 → 0.9.8zc.にアップグレード
参考: https://www.openssl.org/news/secadv_20141015.txt
Apache HTTPD Server + mod_ssl
httpd.confやssl.confに
SSLProtocol All -SSLv2 -SSLv3
と記載しサーバーを再起動 (※Apache 2.4以降はSSLv2は無効)
参考: http://blog.livedoor.jp/k_urushima/archives/1752935.html#sec2-1
IBM Domino Server
R8.5以降は、Fix Packを待つ
R5はサポート無し
参考: http://www-01.ibm.com/support/docview.wss?uid=swg21687167
Microsoft IIS
コマンドラインで以下を実行することで、レジストリ設定により無効化します。
reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders
\SCHANNEL\Protocols\SSL 2.0\Server" /v Enabled /t REG_DWORD /d 0 /f
reg add "HKLM\System\CurrentControlSet\Control\SecurityProviders
\SCHANNEL\Protocols\SSL 3.0\Server" /v Enabled /t REG_DWORD /d 0 /f
参考: http://blog.livedoor.jp/k_urushima/archives/1752935.html#sec2-5
(Apache Tomcat (Java JSSE)も記載されている)
delegate
STLS='fcl,sslway -tls1 ...'
参考: http://ftp.delegate.org/mail-lists/delegate-en/3776
F5
次のコマンドを実行する。
[root@bigip1:Active:Standalone] templates # tmsh list /sys httpd
sys httpd {
ssl-protocol "all -SSLv2"
}
[root@bigip1:Active:Standalone] templates # tmsh modify /sys httpd
ssl-protocol "all -SSLv2 -SSLv3"
参考:
https://devcentral.f5.com/articles/cve-2014-3566-removing-sslv3-from-big-ip
導入・設定の確認方法
下記のように、プロトコルを指定してサーバにアクセスし、結果を比較する。
(サポートしない通信はエラーメッセージを表示して直ぐにコマンド終了、プロ
ンプトに戻る)
$ openssl s_client -connect server01:443 -ssl3
$ openssl s_client -connect server01:443 -tls1
以上