by shigemk2

当面は技術的なことしか書かない

SSL POODLEのメモ

概要

SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia エンタープライズ

SSL 3.0は15年前の古いバージョンではあるが、いまだにこのバージョンを使っているWebサイトが多数あるという。また、Webブラウザのほとんどは、HTTPSサーバのバグによりページに接続できない場合、SSL 3.0を含む旧版のプロトコルでリトライするという形でSSL 3.0もサポートしている。この脆弱性を悪用すると、パスワードやクッキーにアクセスでき、Webサイト上のユーザーの個人情報を盗めるようになってしまうという。

という話。

脆弱性チェックスクリプト

RedHat公式から。 POODLE: SSLv3 vulnerability (CVE-2014-3566) - Red Hat Customer Portal

#!/bin/bash
ret=$(echo Q | timeout 5 openssl s_client -connect "${1-`hostname`}:${2-443}" -ssl3 2> /dev/null)
if echo "${ret}" | grep -q 'Protocol.*SSLv3'; then
  if echo "${ret}" | grep -q 'Cipher.*0000'; then
    echo "SSL 3.0 disabled"
  else
    echo "SSL 3.0 enabled"
 fi
else
  echo "SSL disabled or other error"
fi

opensslコマンドについて

UNIXの部屋 コマンド検索:openssl (*BSD/Linux)

$ openssl s_client -ssl3 -connect localhost:443
CONNECTED(xxxxxxxx)
SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:xxxx:SSL alert number 40
SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:xxx:

対策

mod_ssl - Apache HTTP Server Version 2.2 SSLProtocol

ssl.confに以下のように書いてhttpd再起動など。

SSLProtocol All -SSLv2 -SSLv3