- 2016年3月4日
- その他脆弱性情報
SSLv2に脆弱性。その名は「DROWN」
通信暗号化プロトコル「Secure Socket Layer(SSL)」のバージョン2.0(SSLv2)に脆弱性が存在し、それに関する注意喚起をJVNなどが発表した。
脆弱性情報
- Decrypting RSA using Obsolete and Weakened eNcryption(DROWN)
発見されたシステム・バージョン
- SSLv2
想定される影響
SSLv2 をサポートしているサーバの暗号通信を解読される可能性があります。
対応方法
①SSLv2を無効化する
②共通の SSL 証明書を使用しない
③通信内容を確認したり、SSLV2による通信をファイアウォールの設定でブロックする
現在までに本脆弱性を受けるソフトウェアは以下の通りです。
・OpenSSL
・Microsoft IIS (Windows Server)
・Network Security Services (NSS)
・Apache
・Postfix
・Nginx
このうちOpenSSLは対策版がリリースされております。
「OpenSSL 1.0.2」、「OpenSSL 1.0.1」をそれぞれ「OpenSSL 1.0.2g」、「OpenSSL 1.0.1s」に更新してください。
それ以前のバージョンに関しましては、「OpenSSL 1.0.2g」または「OpenSSL 1.0.1s」に更新してください。
今回の脆弱性は、全HTTPSサーバーの33%ほどが影響を受けるとされておりますので、管理者の方は早めの確認が必要です。
但し、今回の対策は比較的シンプルです。「SSLv2を使わない」です。すでに2011年に非推奨のプロトコルとみなされておりますゆえ、前々から使わない方が良かったわけですので現在利用してる方はこれを機会に見直されては如何でしょうか。