SSLv2に脆弱性。その名は「DROWN」

通信暗号化プロトコル「Secure Socket Layer(SSL)」のバージョン2.0(SSLv2)に脆弱性が存在し、それに関する注意喚起をJVNなどが発表した。

 

脆弱性情報

  • Decrypting RSA using Obsolete and Weakened eNcryption(DROWN)

発見されたシステム・バージョン

  • SSLv2

 

 

想定される影響

SSLv2 をサポートしているサーバの暗号通信を解読される可能性があります。

 

対応方法

①SSLv2を無効化する

②共通の SSL 証明書を使用しない

③通信内容を確認したり、SSLV2による通信をファイアウォールの設定でブロックする

 

 

現在までに本脆弱性を受けるソフトウェアは以下の通りです。

・OpenSSL

・Microsoft IIS (Windows Server)

・Network Security Services (NSS)

・Apache

・Postfix

・Nginx

このうちOpenSSLは対策版がリリースされております。

「OpenSSL 1.0.2」、「OpenSSL 1.0.1」をそれぞれ「OpenSSL 1.0.2g」、「OpenSSL 1.0.1s」に更新してください。

それ以前のバージョンに関しましては、「OpenSSL 1.0.2g」または「OpenSSL 1.0.1s」に更新してください。

 

今回の脆弱性は、全HTTPSサーバーの33%ほどが影響を受けるとされておりますので、管理者の方は早めの確認が必要です。

 

但し、今回の対策は比較的シンプルです。「SSLv2を使わない」です。すでに2011年に非推奨のプロトコルとみなされておりますゆえ、前々から使わない方が良かったわけですので現在利用してる方はこれを機会に見直されては如何でしょうか。

【参照:OpenSSL Security Advisory [1st March 2016]

LINEで送る
Pocket

こんな記事も読まれています