さて、ちょっとどこに該当するフォーラムかわからないでここに投稿いたします。
SSL 3.0に深刻な脆弱性が見つかる。
この脆弱性は「POODLE」と呼ばれており、悪用するとパスワードやCookieに不正にアクセスできるという。対策としては、SSL 3.0の利用を停止することが挙げられている。
この場合 firefox33.0の場合 どこでSSL3.0の利用停止をすればいいのでしょうか。
SSL 3.0に深刻な脆弱性が見つかる 対策方法 12月3日Firefox34リリース
6 件の記事
• ページ 1 / 1
SSL 3.0に深刻な脆弱性が見つかる 対策方法 12月3日Firefox34リリース
by yasushi04 » 2014年10月17日(金) 11:26
最後に編集したユーザー yasushi04 [ 2014年12月03日(水) 08:42 ], 累計 1 回
- yasushi04
- 幕内
- 記事: 185
- 登録日時: 2012年9月24日(月) 16:17
- お住まい: 青森県
Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法
by fu-sen » 2014年10月17日(金) 15:20
ちょうど、他の Linux でも同じまとめをしていたので…… 
POODLE について、まとめておきます。
http://www.itmedia.co.jp/news/articles/ ... ws054.html
http://japan.cnet.com/news/service/35055155/
http://internet.watch.impress.co.jp/doc ... 71482.html
Linux Mint 本家フォーラムでは、こちらで情報がまとめられています。
http://forums.linuxmint.com/viewtopic.php?t=180418
-
OpenSSL
Linux Mint 17 および 13 では Ubuntu パッケージで openssl および libssl の更新がありました。
Linux Mint Debian Edition も更新されています。
これら最新版を適用していれば対応完了です。
-
ブラウザでは SSL 3.0 を無効にするように設定しますが、
こちらも基本的には後のバージョンアップで無効になるよう対応されます。
Firefox
Firefox 34.0 より SSL 3.0 が無効になっています。
Chromium / Google Chrome
最新版で SSL 3.0 が無効になっています。
ブラウザでの確認方法
https://www.poodletest.com/ で確認できます。ワンコが教えてくれます。
・Vulnerable! → 未対応
・Not Vulnerable! → 対応済み
-
Thunderbird
オプション - 詳細 - 一般 - 設定エディタ で security.tls.version.min を 1 にします。
-
なお、Linux Mint では少ないと思いますが、サーバ用途で用いている場合
Apache などの Web サーバでも SSL 3.0 の無効化が必要な場合があります。
むしろこちらの対応が急がれます。
修正 2014/10/22 LMDE の openssl・libssl が更新されましたので、反映しています。
修正 2014/10/24 LMDE の openssl・libssl が再度更新されているようですので、反映しています。
修正 2014/11/25 一部表記を変更しました。
修正 2014/12/03 Linux Mint での Firefox 34.0 反映を確認しましたので、表記を変更しました。
POODLE について、まとめておきます。
http://www.itmedia.co.jp/news/articles/ ... ws054.html
http://japan.cnet.com/news/service/35055155/
http://internet.watch.impress.co.jp/doc ... 71482.html
Linux Mint 本家フォーラムでは、こちらで情報がまとめられています。
http://forums.linuxmint.com/viewtopic.php?t=180418
-
OpenSSL
Linux Mint 17 および 13 では Ubuntu パッケージで openssl および libssl の更新がありました。
Linux Mint Debian Edition も更新されています。
これら最新版を適用していれば対応完了です。
-
ブラウザでは SSL 3.0 を無効にするように設定しますが、
こちらも基本的には後のバージョンアップで無効になるよう対応されます。
Firefox
Firefox 34.0 より SSL 3.0 が無効になっています。
Chromium / Google Chrome
最新版で SSL 3.0 が無効になっています。
ブラウザでの確認方法
https://www.poodletest.com/ で確認できます。ワンコが教えてくれます。
・Vulnerable! → 未対応
・Not Vulnerable! → 対応済み
-
Thunderbird
オプション - 詳細 - 一般 - 設定エディタ で security.tls.version.min を 1 にします。
-
なお、Linux Mint では少ないと思いますが、サーバ用途で用いている場合
Apache などの Web サーバでも SSL 3.0 の無効化が必要な場合があります。
むしろこちらの対応が急がれます。
修正 2014/10/22 LMDE の openssl・libssl が更新されましたので、反映しています。
修正 2014/10/24 LMDE の openssl・libssl が再度更新されているようですので、反映しています。
修正 2014/11/25 一部表記を変更しました。
修正 2014/12/03 Linux Mint での Firefox 34.0 反映を確認しましたので、表記を変更しました。
最後に編集したユーザー fu-sen [ 2014年12月03日(水) 10:43 ], 累計 10 回
- fu-sen
- 関脇
- 記事: 364
- 登録日時: 2014年3月06日(木) 17:40
Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法
by yasushi04 » 2014年10月17日(金) 16:21
fu-senさんありがとうございます。
たまたま検索していたらアンケート会社でSSL3.0のセキュリティ上の問題でSSL3.0を使わない方法に変更を推奨してました。
openSSL 1.01F-1ubuntu2.7 になってればいいのでしょうか。
たまたま検索していたらアンケート会社でSSL3.0のセキュリティ上の問題でSSL3.0を使わない方法に変更を推奨してました。
openSSL 1.01F-1ubuntu2.7 になってればいいのでしょうか。
- yasushi04
- 幕内
- 記事: 185
- 登録日時: 2012年9月24日(月) 16:17
- お住まい: 青森県
Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法
by fu-sen » 2014年10月17日(金) 17:58
Linux Mint のバージョンによって、該当する OpenSSL のバージョンが異なります。
今回の更新は下記のとおりです。
Linux Mint 17 → 1.0.1f-1ubuntu2.7
Linux Mint 13 → 1.0.1-4ubuntu5.20
Linux Mint Debian Edition →1.0.1j-1
今現在の最新バージョンを確認してもらうため、
Ubuntu・Debian のパッケージページをリンクしておきます。
Linux Mint 17 → Ubuntu Trustly
http://packages.ubuntu.com/trusty/openssl
Linux Mint 13 → Ubuntu Precise
http://packages.ubuntu.com/precise/openssl
Linux Mint Debian Edition → Debian Jessie または sid
https://packages.debian.org/ja/sid/openssl
https://packages.debian.org/ja/jessie/openssl
※ 2014年11月に Debian 8 Jessie がリリースされるため、その後 sid ベースへ変わる可能性があります。
もう一つの確認方法としてはターミナルを起動し
openssl version -b としてビルド日を確認します。
この記載時だと 2014年10月 の日付になっています。
OpenSSL としてはこれが更新されていれば良いのですが、
上記にも入れてあるとおり、これだけでは完全ではなく、
Web ブラウザやサーバなど、SSL をアクセスする環境では対応が必要な場合があります。
上記で記載していないバージョンはすでに期限が切れているため、パッケージは更新されません。
もしお使いの方がいらっしゃいましたら、お早めに最新版などへ移行して下さい。
修正 2014/10/22 LMDE の OpenSSL 更新を確認したので変更。しかし反映したバージョンは未対応版です。
修正 2014/10/24 再度 LMDE の OpenSSL 更新を確認したので変更しました。
今回の更新は下記のとおりです。
Linux Mint 17 → 1.0.1f-1ubuntu2.7
Linux Mint 13 → 1.0.1-4ubuntu5.20
Linux Mint Debian Edition →1.0.1j-1
今現在の最新バージョンを確認してもらうため、
Ubuntu・Debian のパッケージページをリンクしておきます。
Linux Mint 17 → Ubuntu Trustly
http://packages.ubuntu.com/trusty/openssl
Linux Mint 13 → Ubuntu Precise
http://packages.ubuntu.com/precise/openssl
Linux Mint Debian Edition → Debian Jessie または sid
https://packages.debian.org/ja/sid/openssl
https://packages.debian.org/ja/jessie/openssl
※ 2014年11月に Debian 8 Jessie がリリースされるため、その後 sid ベースへ変わる可能性があります。
もう一つの確認方法としてはターミナルを起動し
openssl version -b としてビルド日を確認します。
この記載時だと 2014年10月 の日付になっています。
OpenSSL としてはこれが更新されていれば良いのですが、
上記にも入れてあるとおり、これだけでは完全ではなく、
Web ブラウザやサーバなど、SSL をアクセスする環境では対応が必要な場合があります。
上記で記載していないバージョンはすでに期限が切れているため、パッケージは更新されません。
もしお使いの方がいらっしゃいましたら、お早めに最新版などへ移行して下さい。
修正 2014/10/22 LMDE の OpenSSL 更新を確認したので変更。しかし反映したバージョンは未対応版です。
修正 2014/10/24 再度 LMDE の OpenSSL 更新を確認したので変更しました。
- fu-sen
- 関脇
- 記事: 364
- 登録日時: 2014年3月06日(木) 17:40
Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法
by yasushi04 » 2014年11月24日(月) 09:59
SSL3.0がデフォルトで無効になるfirefox34のリリースが1周間ほど遅れ12月1日になっていますね。
参考資料 http://d.hatena.ne.jp/hinkyaku49/20141119/1416401361
参考資料 http://d.hatena.ne.jp/hinkyaku49/20141119/1416401361
- yasushi04
- 幕内
- 記事: 185
- 登録日時: 2012年9月24日(月) 16:17
- お住まい: 青森県
Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法 Firefox34リリース
by yasushi04 » 2014年12月03日(水) 08:40
先ほど12月2日に朝にFirefox34のリリースが確認していましたが、今日LInuxmint側でもアップデートをしたらFirfox34のアップデートがありました。このバージョンよりSSL3.0が標準で無効化されております。
- yasushi04
- 幕内
- 記事: 185
- 登録日時: 2012年9月24日(月) 16:17
- お住まい: 青森県
6 件の記事
• ページ 1 / 1
オンラインデータ
このフォーラムを閲覧中のユーザー: なし & ゲスト[1人]