SSLバージョン3の脆弱性について (CVE-2014-3566)

2014-10-17 14:00 by 福嶋

SSLバージョン3(以下,SSLv3)に関してプロトコルの設計上の問題により,暗号化された情報を解読される脆弱性が報告されています。

 

学認技術ガイドに従って構築したIdP/SPの場合は,IdPはhttpdおよびTomcat,SPはhttpdが本脆弱性の影響を受ける可能性がありますので,サーバ側の対処としてSSLv3の無効化を行っていただくことをおすすめいたします。

 

■ httpdの対処方法

  /etc/httpd/conf.d/ssl.confにおいて,
 SSLProtocol行の末尾に「-SSLv3」を設定し,SSLv3を無効にします。

 SSLProtocol all -SSLv2 -SSLv3 <-- 「-SSLv3」を追加します

 

■ Tomcatの対処方法(暫定版)

 $CATALINA_BASE/conf/server.xmlにおいて,
 SOAPの設定に「sslProtocols」と「sslEnabledProtocols」を設定し,
 SSLv3を無効にします。

 <Connector port="8443"
    protocol="org.apache.coyote.http11.Http11Protocol"
 SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
    scheme="https"
    SSLEnabled="true"
    clientAuth="want"
    sslProtocols="TLSv1,TLSv1.1,TLSv1.2"  <-- この行を追加します
    sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" <-- この行を追加します
    keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
    keystorePass="キーストアパスワード" />

 学認の環境ではsslProtocolsのみでSSLv3が無効となることを
 確認していますが,環境によってはsslEnabledProtocolsが
 必要となる可能性があります。
 IdP管理者の方で異なる設定で対応されている方は
 情報提供いただければ幸いです。

 

上記の対処は,IdPでBack-Channelの設定をしていない場合は不要です。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158421

 

httpd, Tomcatの他にも,OpenLDAPでLDAPSをご利用の場合も本脆弱性の影響を受ける可能性がありますので,ご確認いただくことをおすすめいたします。

 

参考情報:

 

 本件に関する連絡先
 ===============================================
 国立情報学研究所 学認事務局
 TEL:03-4212-2218
 
 ===============================================