web-dev-qa-db-ja.com

私のWebサイトがCVE-2014-3566(POODLE)に対して脆弱であるかどうかはどのように確認できますか?

Google 発表済み SSLv3プロトコルの脆弱性

...ネットワーク接続の攻撃者が安全な接続の平文を計算できるようにします。

この脆弱性には、指定 CVE-2014-3566 およびマーケティング名POODLEが与えられています。

` https://www.example.com/ にWebサイトがある場合、この脆弱性が私に影響を与えているかどうかはどうすればわかりますか?

14
Jason Owen

SSLv3が壊れている

POODLEの出現により、SSLv3で使用されるすべての暗号スイートが危険にさらされており、プロトコルは修復不可能なほど壊れていると見なされます。

ウェブサイト

curl(1) を使用して、SSLv3を介してWebサイトが利用可能かどうかを確認できます。

_curl -v -3 -X HEAD https://www.example.com
_

_-v_引数は詳細出力をオンにし、_-3_はcurlにSSLv3の使用を強制し、_-X HEAD_は正常な接続での出力を制限します。

脆弱でない場合、接続できず、出力は次のようになります。

_* SSL peer handshake failed, the server most likely requires a client certificate to connect
_

脆弱な場合は、次の行を含む通常の接続出力が表示されます。

_* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
_

他のサービス

SSL経由で利用できるのはWebサイトだけではありません。メール、irc、およびLDAPは、セキュリティ保護された接続を介して利用できるサービスの3つの例であり、SSLv3接続を受け入れる場合、POODLEに対して同様に脆弱です。

SSLv3を使用してサービスに接続するには、 openssl(1)s_client(1) コマンドを使用できます。

_openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
_

_-connect_引数は_hostname:port_パラメータを受け取り、_-ssl3_引数はネゴシエートされるプロトコルバージョンをSSLv3に制限し、_/dev/null_をSTDINにパイプするとすぐに接続が終了しますそれを開いた後。

接続に成功すると、SSLv3が有効になります。 _ssl handshake failure_を取得した場合、そうではありません。

こちらもご覧ください

Security SEにはすばらしい質問と回答があります。 https://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability

17
Jason Owen

簡単にチェックしたい場合は、以下のURLにアクセスしてください。これは、POODLEのチェックを含め、SSLに関するすべての事柄に対応するのにかなり役立ちます。

https://www.ssllabs.com/ssltest/

2
rvh