Red Hat Customer Portal

Skip to main content

httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566)

Solution In Progress - Updated -

Environment

  • Red Hat Enterprise Linux 5、6、7
  • Red Hat JBoss Enterprise Application Platform (EAP) 5、6
  • JBoss Enterprise Web Server (EWS) 1、2
  • Inktank Ceph Enterprise (ICE) 1
  • Red Hat Storage Console
  • Red Hat Enterprise Virtualization

Issue

  • CVE-2014-3566 の影響を httpd が受けないようにするには
  • (mod_ssl または mod_nss を使用して) httpd で SSL 3.0 を無効にするには

Resolution

この脆弱性問題を回避するには、SSL を無効にし、TLSv1.1 または TLSv1.2 だけを使用することを Red Hat は推奨します。後方互換性は、TLSv1.0 を使用すると実行できます。Red Hat がサポートする多くの製品には SSLv2 または SSLv3 プロトコルを使用する機能があります。これらのプロトコルはデフォルトで有効になっています。ただし、SSLv2 または SSLv3 は使用しないことが現在強く推奨されています。

httpd における SSL および TLS サポートは、OpenSSL ライブラリを使用する mod_ssl モジュール、または NSS ライブラリを使用する mod_nss モジュールで提供できます。

以下の例では、指定した製品バージョンで現在サポートされているすべての TLS バージョンを有効にします。

mod_ssl で SSL 3.0 を無効にする

この脆弱性は mod_ssl を使用する httpd に影響します。この問題を軽減するには、/etc/httpd/conf.d/ssl.confSSLProtocol ディレクティブを以下のように設定してください。

注意: このディレクティブは、設定ファイルの最上位レベルに保存するか、アドレスのデフォルトの仮想ホスト設定に保存する必要があります。

オプション 1: SSLv2 および SSLv3 を無効にする (SSLv2 と SSLv3 以外はすべて有効にする)

    SSLProtocol All -SSLv2 -SSLv3

次に httpd を再起動します。

    # service httpd restart

オプション 2: TLSv1.x 以外をすべて無効にする

Red Hat Enterprise Linux 7 または Red Hat Enterprise Linux 6.6 以降の場合:

    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

Red Hat Enterprise Linux 5 など、その他のプラットフォームの場合:

    SSLProtocol -All +TLSv1

次に httpd を再起動します。

    # service httpd restart

mod_nss で SSL 3.0 を無効にする

この脆弱性は mod_nss を使用する httpd に影響します。この問題を軽減するには、/etc/httpd/conf.d/nss.confNSSProtocol ディレクティブを以下のように設定してください。

Red Hat Enterprise Linux 6 以降の場合:

  NSSProtocol TLSv1.0,TLSv1.1

Red Hat Enterprise Linux 5:

  NSSProtocol TLSv1.0

次に httpd を再起動します。

    # service httpd restart

Root Cause

SSLv3.0 プロトコルで脆弱性が報告されました。中間者となる攻撃者は、この脆弱性を利用して、padding oracle side-channel 攻撃を行うことで暗号文を解読できます。この脆弱性の詳細については、POODLE: SSLv3.0 vulnerability (CVE-2014-3566) を参照してください。

Diagnostic Steps

診断手順は、POODLE: SSLv3.0 vulnerability (CVE-2014-3566) を参照してください。

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.