1.『POODLE』脆弱性の概要
『POODLE(Padding Oracle On Downgraded Legacy Encryption)』(以下、当脆弱
性)
はSSLバージョン3.0で、Cipher Block Chaining(CBC、暗号文ブロック連鎖モー
ド)を
利用している場合、中間者攻撃によってユーザーの個人情報や機密情報を盗聴、
漏えいさせることが可能になる脆弱性です。TLSバージョン1.0以上をご利用されて
いる
場合は影響を受けません。
2. SSLサーバ証明書およびSSL関連製品への影響
この脆弱性はSSLプロトコルの脆弱性で、既存のSSLサーバ証明書やコードサイニン
グ
証明書への影響はございません。証明書の再発行やウェブサーバへの入れ替えは必
要
ございません。
3.お客様のリスク軽減方法 (対応順)
3-1. お客様のウェブサーバでSSLサーバ証明書をご利用中の場合は、以下のサイト
で
対象のウェブサーバのドメイン名(FQDN)を入力いただくことで、お客様のウェブ
サーバで
SSL3.0プロトコルが有効となっているか否かを確認できます。
■シマンテック SSLツールボックス
https://ssltools.websecurity.symantec.com/checker/views/certCheck.jsp
※SSL3.0を利用している場合、「Your server may be vulnerable: SSLv3 is
enabled」
と表示されます。
3-2.SSL3.0をご利用の場合はSSL3.0あるいはSSL3.0 CBCモードを利用できなくする
ことをリスク軽減方法としてご検討ください。
※以下のGoogleの発表もご参照ください。
http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html
[TLS対応済みクライアント]
<携帯端末>
・ソフトバンクモバイル 全端末
<PCブラウザ>
・Microsoft Internet Explorer 7 以降(※)
・Mozilla Firefox 全てのバージョン
・Safari 全てのバージョン
・Google Chrome 全バージョン
・Opera Ver5 以降
[ご参考情報 各ブラウザメーカーのSSLv3対応の方針]
・Internet Explorer(SSLv3の無効を推奨)
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx
・Firefox(Firefoxの次バージョンより SSLv3非サポート予定)
http://www.mozilla.jp/blog/entry/10433/
・Chrome(SSLv3非サポート予定)
http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html
・ソフトバンクモバイル
http://creation.mb.softbank.jp/mc/tech/tech_web/web_ssl.html
・NTTドコモ
https://www.nttdocomo.co.jp/service/developer/make/content/ssl/spec/index.html
以上
No comments:
Post a Comment