SSL 3.0に深刻な脆弱性が見つかる 対策方法 12月3日Firefox34リリース

Linux MintのMint Toolに関する質問

SSL 3.0に深刻な脆弱性が見つかる 対策方法 12月3日Firefox34リリース

投稿記事by yasushi04 » 2014年10月17日(金) 11:26

さて、ちょっとどこに該当するフォーラムかわからないでここに投稿いたします。
SSL 3.0に深刻な脆弱性が見つかる。
この脆弱性は「POODLE」と呼ばれており、悪用するとパスワードやCookieに不正にアクセスできるという。対策としては、SSL 3.0の利用を停止することが挙げられている。

この場合 firefox33.0の場合 どこでSSL3.0の利用停止をすればいいのでしょうか。
最後に編集したユーザー yasushi04 [ 2014年12月03日(水) 08:42 ], 累計 1 回
yasushi04
幕内
 
記事: 185
登録日時: 2012年9月24日(月) 16:17
お住まい: 青森県

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法

投稿記事by fu-sen » 2014年10月17日(金) 15:20

ちょうど、他の Linux でも同じまとめをしていたので…… :o :shock: :x

POODLE について、まとめておきます。
http://www.itmedia.co.jp/news/articles/ ... ws054.html
http://japan.cnet.com/news/service/35055155/
http://internet.watch.impress.co.jp/doc ... 71482.html

Linux Mint 本家フォーラムでは、こちらで情報がまとめられています。
http://forums.linuxmint.com/viewtopic.php?t=180418

-

OpenSSL
Linux Mint 17 および 13 では Ubuntu パッケージで openssl および libssl の更新がありました。
Linux Mint Debian Edition も更新されています。
これら最新版を適用していれば対応完了です。

-

ブラウザでは SSL 3.0 を無効にするように設定しますが、
こちらも基本的には後のバージョンアップで無効になるよう対応されます。

Firefox
Firefox 34.0 より SSL 3.0 が無効になっています。

Chromium / Google Chrome
最新版で SSL 3.0 が無効になっています。

ブラウザでの確認方法
https://www.poodletest.com/ で確認できます。ワンコが教えてくれます。
Vulnerable! → 未対応
Not Vulnerable! → 対応済み

-

Thunderbird
オプション - 詳細 - 一般 - 設定エディタsecurity.tls.version.min1 にします。

-

なお、Linux Mint では少ないと思いますが、サーバ用途で用いている場合
Apache などの Web サーバでも SSL 3.0 の無効化が必要な場合があります。
むしろこちらの対応が急がれます。

修正 2014/10/22 LMDE の openssl・libssl が更新されましたので、反映しています。
修正 2014/10/24 LMDE の openssl・libssl が再度更新されているようですので、反映しています。
修正 2014/11/25 一部表記を変更しました。
修正 2014/12/03 Linux Mint での Firefox 34.0 反映を確認しましたので、表記を変更しました。
最後に編集したユーザー fu-sen [ 2014年12月03日(水) 10:43 ], 累計 10 回
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法

投稿記事by yasushi04 » 2014年10月17日(金) 16:21

fu-senさんありがとうございます。

たまたま検索していたらアンケート会社でSSL3.0のセキュリティ上の問題でSSL3.0を使わない方法に変更を推奨してました。

openSSL 1.01F-1ubuntu2.7  になってればいいのでしょうか。
yasushi04
幕内
 
記事: 185
登録日時: 2012年9月24日(月) 16:17
お住まい: 青森県

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法

投稿記事by fu-sen » 2014年10月17日(金) 17:58

Linux Mint のバージョンによって、該当する OpenSSL のバージョンが異なります。
今回の更新は下記のとおりです。

Linux Mint 17 → 1.0.1f-1ubuntu2.7
Linux Mint 13 → 1.0.1-4ubuntu5.20
Linux Mint Debian Edition →1.0.1j-1

今現在の最新バージョンを確認してもらうため、
Ubuntu・Debian のパッケージページをリンクしておきます。

Linux Mint 17 → Ubuntu Trustly
http://packages.ubuntu.com/trusty/openssl

Linux Mint 13 → Ubuntu Precise
http://packages.ubuntu.com/precise/openssl

Linux Mint Debian Edition → Debian Jessie または sid
https://packages.debian.org/ja/sid/openssl
https://packages.debian.org/ja/jessie/openssl
※ 2014年11月に Debian 8 Jessie がリリースされるため、その後 sid ベースへ変わる可能性があります。

もう一つの確認方法としてはターミナルを起動し
openssl version -b としてビルド日を確認します。
この記載時だと 2014年10月 の日付になっています。

OpenSSL としてはこれが更新されていれば良いのですが、
上記にも入れてあるとおり、これだけでは完全ではなく、
Web ブラウザやサーバなど、SSL をアクセスする環境では対応が必要な場合があります。

上記で記載していないバージョンはすでに期限が切れているため、パッケージは更新されません。
もしお使いの方がいらっしゃいましたら、お早めに最新版などへ移行して下さい。

修正 2014/10/22 LMDE の OpenSSL 更新を確認したので変更。しかし反映したバージョンは未対応版です。
修正 2014/10/24 再度 LMDE の OpenSSL 更新を確認したので変更しました。
fu-sen
関脇
 
記事: 364
登録日時: 2014年3月06日(木) 17:40

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法

投稿記事by yasushi04 » 2014年11月24日(月) 09:59

SSL3.0がデフォルトで無効になるfirefox34のリリースが1周間ほど遅れ12月1日になっていますね。
参考資料 http://d.hatena.ne.jp/hinkyaku49/20141119/1416401361
yasushi04
幕内
 
記事: 185
登録日時: 2012年9月24日(月) 16:17
お住まい: 青森県

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法 Firefox34リリース

投稿記事by yasushi04 » 2014年12月03日(水) 08:40

先ほど12月2日に朝にFirefox34のリリースが確認していましたが、今日LInuxmint側でもアップデートをしたらFirfox34のアップデートがありました。このバージョンよりSSL3.0が標準で無効化されております。
yasushi04
幕内
 
記事: 185
登録日時: 2012年9月24日(月) 16:17
お住まい: 青森県


Return to Mint Tool

オンラインデータ

このフォーラムを閲覧中のユーザー: なし & ゲスト[2人]