概要
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia エンタープライズ
SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。
という話。
脆弱性チェックスクリプト
RedHat公式から。 POODLE: SSLv3 vulnerability (CVE-2014-3566) - Red Hat Customer Portal
#!/bin/bash ret=$(echo Q | timeout 5 openssl s_client -connect "${1-`hostname`}:${2-443}" -ssl3 2> /dev/null) if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then if echo "${ret}" | grep -q 'Cipher.*0000'; then echo "SSL 3.0 disabled" else echo "SSL 3.0 enabled" fi else echo "SSL disabled or other error" fi
opensslコマンドについて
UNIXの部屋 コマンド検索:openssl (*BSD/Linux)
$ openssl s_client -ssl3 -connect localhost:443 CONNECTED(xxxxxxxx) SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:xxxx:SSL alert number 40 SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:xxx:
対策
mod_ssl - Apache HTTP Server Version 2.2 SSLProtocol
ssl.confに以下のように書いてhttpd再起動など。
SSLProtocol All -SSLv2 -SSLv3