設定から SSLv3 を無効にできないコンポーネントで POODLE SSLv3.0 脆弱性 (CVE-2014-3566) を解決する方法
Environment
- Red Hat Enterprise Linux 5、6、7
Issue
- 設定から SSLv3 を無効にできないコンポーネントが CVE-2014-3566 の影響を受けないようにするには?
- OpenLDAP が CVE-2014-3566 の影響を受けないようにするには?
- cups が CVE-2014-3566 の影響を受けないようにするには?
Resolution
一部のコンポーネントでは、SSLv3 を無効にする設定パラメーターが提供されていません。現時点では、以下がそれにあたります。
- OpenLDAP
- cups
stunnel を使用してこれらのコンポーネントの SSLv3 を無効にできます。stunnel は、暗号化に OpenSSL ライブラリを使用して、リモートクライアントと、ローカル (inetd-startable) またはリモートサーバーとの間で暗号化ラッパーを提供します。
stunnel で SSLv3 を無効にするには、stunnel.conf ファイルで以下の設定パラメーターを使用します。
options = NO_SSLv2
options = NO_SSLv3
stunnel のインストールと設定の詳細については、man ページまたはシステムドキュメントを参照してください。
注意: 新しい openldap-servers には TLSProtocolMin オプションがあります。openldap-servers が openldap-servers-2.4.39-8.el6 (RHEL6)、または openldap-servers-2.4.39-3.el7 (RHEL7) 以降の場合は、slapd.conf に "TLSProtocolMin 3.1" を追加して SSLv3 を無効にします。詳細については、man slapd.conf を参照してください。
Root Cause
SSLv3.0 プロトコルで脆弱性が報告されました。中間者となる攻撃者は、この脆弱性を利用して、padding oracle side-channel 攻撃を行うことで暗号文を解読できます。この脆弱性の詳細については、POODLE: SSLv3.0 vulnerability (CVE-2014-3566) を参照してください。
Diagnostic Steps
診断手順については、POODLE: SSLv3.0 vulnerability (CVE-2014-3566) を参照してください。
This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.
Comments