・POODLEに関するFAQ (2014/10/16)
『これは深刻な脆弱性・・・中略・・・と言えるでしょう
・・・中略・・・
フォーティネットの製品に関してですが、FortiGateとF ortiMailはデフォルトの構成では脆弱な状態ですが、SS Lv3を無効化するCLI設定があります』
---> 2019.06.01追記、ここから
これか? ↓・FortiGate 脆弱性対策 (2017/06/07)
http://extstrg.asabiya.net/pukiwiki/index.php?FortiGate%20%C0%C8%BC%E5%C0%AD%C2%D0%BA%F6
『SSLv2、SSLv3、TLS1.0、TLS1.1の無効化 # config vpn ssl settings (settings) # set sslv3 disable (settings) # set sslv2 disable (settings) # set tlsv1-0 disable (settings) # set tlsv1-1 disable (settings) # end 』
---> 2019.06.01追記、ここまで
--> 2020.03.02追記、ここから
SSLv3の脆弱性へのPOODLE攻撃は2014から知られ、TLS1.0/1.1も主要ブラウザでサポート廃止に動いており
最近はTLS1.2 も危なくなり、TLS1.3が発表されました。
気付いたら早めの対処(バージョンアップや設定変更など)が吉ですね。
・Transport Layer Security
https://ja.wikipedia.org/wiki/Transport_Layer_Security
「2015年6月、RFC 7568によってSSL 3.0の使用は禁止された」
・SSL Version 2 and 3 Protocol Detection (update 2019/03/27)
https://www.tenable.com/plugins/nessus/20007
Severity: HighRisk Factor: HighCVSS v2.0 Base Score: 7.1CVSS v3.0 Base Score: 7.5
・SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃) (2014/10/16)
https://jvn.jp/vu/JVNVU98283300/
飲食店や駅、空港など無料Wi-Fiの使える場所では、第三者が正規アクセスポイント(AP)に見せかけた偽APを設置するなどして、通信盗聴を試行が容易です。
そして『暗号化された通信内容の一部を解読される可能性があります。』
・「Google Chrome」「Firefox」「Safari」もTLS 1.0/1.1のサポートを廃止へ (2018/10/16)
https://forest.watch.impress.co.jp/docs/news/1148101.html
「TLS(Transport Layer Security)」はインターネット通信を暗号化するプロトコルだが、初期バージョンの「TLS 1.0」や「TLS 1.1」はすでに設計が古く、もはや安全なプロトコルとは言えない。
--> 2020.03.02追記、ここまで
・徳丸浩氏が明かす“セキュリティ人材不足”の解決策、「 実は答えは出ている」
・大成建設はいかにしてCSIRT運用を成功させたか
・統率が取れないクラウド導入がもたらすリスク
No comments:
Post a Comment