SSLv2に脆弱性。その名は「DROWN」

通信暗号化プロトコル「Secure Socket Layer(SSL)」のバージョン2.0(SSLv2)に脆弱性が存在し、それに関する注意喚起をJVNなどが発表した。

 

脆弱性情報

  • Decrypting RSA using Obsolete and Weakened eNcryption(DROWN)

発見されたシステム・バージョン

  • SSLv2

 

 

想定される影響

SSLv2 をサポートしているサーバの暗号通信を解読される可能性があります。

 

対応方法

①SSLv2を無効化する

②共通の SSL 証明書を使用しない

③通信内容を確認したり、SSLV2による通信をファイアウォールの設定でブロックする

 

 

現在までに本脆弱性を受けるソフトウェアは以下の通りです。

・OpenSSL

・Microsoft IIS (Windows Server)

・Network Security Services (NSS)

・Apache

・Postfix

・Nginx

このうちOpenSSLは対策版がリリースされております。

「OpenSSL 1.0.2」、「OpenSSL 1.0.1」をそれぞれ「OpenSSL 1.0.2g」、「OpenSSL 1.0.1s」に更新してください。

それ以前のバージョンに関しましては、「OpenSSL 1.0.2g」または「OpenSSL 1.0.1s」に更新してください。

 

今回の脆弱性は、全HTTPSサーバーの33%ほどが影響を受けるとされておりますので、管理者の方は早めの確認が必要です。

 

但し、今回の対策は比較的シンプルです。「SSLv2を使わない」です。すでに2011年に非推奨のプロトコルとみなされておりますゆえ、前々から使わない方が良かったわけですので現在利用してる方はこれを機会に見直されては如何でしょうか。

【参照:OpenSSL Security Advisory [1st March 2016]

【お知らせ】

弊社レオンテクノロジーにて、WEBセキュリティについてのセミナーを実施いたします。最新のセキュリティ攻撃の事情に着目し、セキュリティインシデントの例や、実際にどのように攻撃が行われているのかを実演し、対策方法についてご紹介いたします。

・Webアプリケーション対策をご検討の方
・Webアプリケーションについての対策を行っていない方
・最新の情報セキュリティに興味のある方
・情報セキュリティ担当を初めてされる方
以上の方、そうでない方もぜひ足を運んでみてください。

LINEで送る
Pocket

こんな記事も読まれています