Google 発表済み SSLv3プロトコルの脆弱性
...ネットワーク接続の攻撃者が安全な接続の平文を計算できるようにします。
この脆弱性には、指定 CVE-2014-3566 およびマーケティング名POODLEが与えられています。
` https://www.example.com/ にWebサイトがある場合、この脆弱性が私に影響を与えているかどうかはどうすればわかりますか?
POODLEの出現により、SSLv3で使用されるすべての暗号スイートが危険にさらされており、プロトコルは修復不可能なほど壊れていると見なされます。
curl(1)
を使用して、SSLv3を介してWebサイトが利用可能かどうかを確認できます。
_curl -v -3 -X HEAD https://www.example.com
_
_-v
_引数は詳細出力をオンにし、_-3
_はcurlにSSLv3の使用を強制し、_-X HEAD
_は正常な接続での出力を制限します。
脆弱でない場合、接続できず、出力は次のようになります。
_* SSL peer handshake failed, the server most likely requires a client certificate to connect
_
脆弱な場合は、次の行を含む通常の接続出力が表示されます。
_* SSL 3.0 connection using SSL_NULL_WITH_NULL_NULL
_
SSL経由で利用できるのはWebサイトだけではありません。メール、irc、およびLDAPは、セキュリティ保護された接続を介して利用できるサービスの3つの例であり、SSLv3接続を受け入れる場合、POODLEに対して同様に脆弱です。
SSLv3を使用してサービスに接続するには、 openssl(1)
s_client(1)
コマンドを使用できます。
_openssl s_client -connect imap.example.com:993 -ssl3 < /dev/null
_
_-connect
_引数は_hostname:port
_パラメータを受け取り、_-ssl3
_引数はネゴシエートされるプロトコルバージョンをSSLv3に制限し、_/dev/null
_をSTDIN
にパイプするとすぐに接続が終了しますそれを開いた後。
接続に成功すると、SSLv3が有効になります。 _ssl handshake failure
_を取得した場合、そうではありません。
Security SEにはすばらしい質問と回答があります。 https://security.stackexchange.com/questions/70719/ssl3-poodle-vulnerability
簡単にチェックしたい場合は、以下のURLにアクセスしてください。これは、POODLEのチェックを含め、SSLに関するすべての事柄に対応するのにかなり役立ちます。