httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566)
Environment
- Red Hat Enterprise Linux 5、6、7
- Red Hat JBoss Enterprise Application Platform (EAP) 5、6
- JBoss Enterprise Web Server (EWS) 1、2
- Inktank Ceph Enterprise (ICE) 1
- Red Hat Storage Console
- Red Hat Enterprise Virtualization
Issue
- CVE-2014-3566 の影響を httpd が受けないようにするには
- (mod_ssl または mod_nss を使用して) httpd で SSL 3.0 を無効にするには
Resolution
この脆弱性問題を回避するには、SSL を無効にし、TLSv1.1 または TLSv1.2 だけを使用することを Red Hat は推奨します。後方互換性は、TLSv1.0 を使用すると実行できます。Red Hat がサポートする多くの製品には SSLv2 または SSLv3 プロトコルを使用する機能があります。これらのプロトコルはデフォルトで有効になっています。ただし、SSLv2 または SSLv3 は使用しないことが現在強く推奨されています。
httpd における SSL および TLS サポートは、OpenSSL ライブラリを使用する mod_ssl
モジュール、または NSS ライブラリを使用する mod_nss
モジュールで提供できます。
以下の例では、指定した製品バージョンで現在サポートされているすべての TLS バージョンを有効にします。
mod_ssl で SSL 3.0 を無効にする
この脆弱性は mod_ssl を使用する httpd に影響します。この問題を軽減するには、/etc/httpd/conf.d/ssl.conf
の SSLProtocol
ディレクティブを以下のように設定してください。
注意: このディレクティブは、設定ファイルの最上位レベルに保存するか、アドレスのデフォルトの仮想ホスト設定に保存する必要があります。
オプション 1: SSLv2 および SSLv3 を無効にする (SSLv2 と SSLv3 以外はすべて有効にする)
SSLProtocol All -SSLv2 -SSLv3
次に httpd を再起動します。
# service httpd restart
オプション 2: TLSv1.x 以外をすべて無効にする
Red Hat Enterprise Linux 7 または Red Hat Enterprise Linux 6.6 以降の場合:
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
Red Hat Enterprise Linux 5 など、その他のプラットフォームの場合:
SSLProtocol -All +TLSv1
次に httpd を再起動します。
# service httpd restart
mod_nss で SSL 3.0 を無効にする
この脆弱性は mod_nss を使用する httpd に影響します。この問題を軽減するには、/etc/httpd/conf.d/nss.conf
の NSSProtocol
ディレクティブを以下のように設定してください。
Red Hat Enterprise Linux 6 以降の場合:
NSSProtocol TLSv1.0,TLSv1.1
Red Hat Enterprise Linux 5:
NSSProtocol TLSv1.0
次に httpd を再起動します。
# service httpd restart
Root Cause
SSLv3.0 プロトコルで脆弱性が報告されました。中間者となる攻撃者は、この脆弱性を利用して、padding oracle side-channel 攻撃を行うことで暗号文を解読できます。この脆弱性の詳細については、POODLE: SSLv3.0 vulnerability (CVE-2014-3566) を参照してください。
Diagnostic Steps
診断手順は、POODLE: SSLv3.0 vulnerability (CVE-2014-3566) を参照してください。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments