ページ 11

SSL 3.0に深刻な脆弱性が見つかる 対策方法 12月3日Firefox34リリース

投稿記事Posted: 2014年10月17日(金) 11:26
by yasushi04
さて、ちょっとどこに該当するフォーラムかわからないでここに投稿いたします。
SSL 3.0に深刻な脆弱性が見つかる。
この脆弱性は「POODLE」と呼ばれており、悪用するとパスワードやCookieに不正にアクセスできるという。対策としては、SSL 3.0の利用を停止することが挙げられている。

この場合 firefox33.0の場合 どこでSSL3.0の利用停止をすればいいのでしょうか。

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法

投稿記事Posted: 2014年10月17日(金) 15:20
by fu-sen
ちょうど、他の Linux でも同じまとめをしていたので…… :o :shock: :x

POODLE について、まとめておきます。
http://www.itmedia.co.jp/news/articles/ ... ws054.html
http://japan.cnet.com/news/service/35055155/
http://internet.watch.impress.co.jp/doc ... 71482.html

Linux Mint 本家フォーラムでは、こちらで情報がまとめられています。
http://forums.linuxmint.com/viewtopic.php?t=180418

-

OpenSSL
Linux Mint 17 および 13 では Ubuntu パッケージで openssl および libssl の更新がありました。
Linux Mint Debian Edition も更新されています。
これら最新版を適用していれば対応完了です。

-

ブラウザでは SSL 3.0 を無効にするように設定しますが、
こちらも基本的には後のバージョンアップで無効になるよう対応されます。

Firefox
Firefox 34.0 より SSL 3.0 が無効になっています。

Chromium / Google Chrome
最新版で SSL 3.0 が無効になっています。

ブラウザでの確認方法
https://www.poodletest.com/ で確認できます。ワンコが教えてくれます。
Vulnerable! → 未対応
Not Vulnerable! → 対応済み

-

Thunderbird
オプション - 詳細 - 一般 - 設定エディタsecurity.tls.version.min1 にします。

-

なお、Linux Mint では少ないと思いますが、サーバ用途で用いている場合
Apache などの Web サーバでも SSL 3.0 の無効化が必要な場合があります。
むしろこちらの対応が急がれます。

修正 2014/10/22 LMDE の openssl・libssl が更新されましたので、反映しています。
修正 2014/10/24 LMDE の openssl・libssl が再度更新されているようですので、反映しています。
修正 2014/11/25 一部表記を変更しました。
修正 2014/12/03 Linux Mint での Firefox 34.0 反映を確認しましたので、表記を変更しました。

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法

投稿記事Posted: 2014年10月17日(金) 16:21
by yasushi04
fu-senさんありがとうございます。

たまたま検索していたらアンケート会社でSSL3.0のセキュリティ上の問題でSSL3.0を使わない方法に変更を推奨してました。

openSSL 1.01F-1ubuntu2.7  になってればいいのでしょうか。

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法

投稿記事Posted: 2014年10月17日(金) 17:58
by fu-sen
Linux Mint のバージョンによって、該当する OpenSSL のバージョンが異なります。
今回の更新は下記のとおりです。

Linux Mint 17 → 1.0.1f-1ubuntu2.7
Linux Mint 13 → 1.0.1-4ubuntu5.20
Linux Mint Debian Edition →1.0.1j-1

今現在の最新バージョンを確認してもらうため、
Ubuntu・Debian のパッケージページをリンクしておきます。

Linux Mint 17 → Ubuntu Trustly
http://packages.ubuntu.com/trusty/openssl

Linux Mint 13 → Ubuntu Precise
http://packages.ubuntu.com/precise/openssl

Linux Mint Debian Edition → Debian Jessie または sid
https://packages.debian.org/ja/sid/openssl
https://packages.debian.org/ja/jessie/openssl
※ 2014年11月に Debian 8 Jessie がリリースされるため、その後 sid ベースへ変わる可能性があります。

もう一つの確認方法としてはターミナルを起動し
openssl version -b としてビルド日を確認します。
この記載時だと 2014年10月 の日付になっています。

OpenSSL としてはこれが更新されていれば良いのですが、
上記にも入れてあるとおり、これだけでは完全ではなく、
Web ブラウザやサーバなど、SSL をアクセスする環境では対応が必要な場合があります。

上記で記載していないバージョンはすでに期限が切れているため、パッケージは更新されません。
もしお使いの方がいらっしゃいましたら、お早めに最新版などへ移行して下さい。

修正 2014/10/22 LMDE の OpenSSL 更新を確認したので変更。しかし反映したバージョンは未対応版です。
修正 2014/10/24 再度 LMDE の OpenSSL 更新を確認したので変更しました。

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法

投稿記事Posted: 2014年11月24日(月) 09:59
by yasushi04
SSL3.0がデフォルトで無効になるfirefox34のリリースが1周間ほど遅れ12月1日になっていますね。
参考資料 http://d.hatena.ne.jp/hinkyaku49/20141119/1416401361

Re: SSL 3.0に深刻な脆弱性が見つかる 対策方法 Firefox34リリース

投稿記事Posted: 2014年12月03日(水) 08:40
by yasushi04
先ほど12月2日に朝にFirefox34のリリースが確認していましたが、今日LInuxmint側でもアップデートをしたらFirfox34のアップデートがありました。このバージョンよりSSL3.0が標準で無効化されております。