平成30/ 2018-10-23 11:17
POODLE: SSLv3.0 脆弱性 (CVE-2014-3566)

ssl3は以下の方法で確認できる。
>>
openssl s_client -ssl3 -connect siiz.biz:443
>> こんな風にERRORがでていなければ、ssl3を無効にする必要ある。
2349:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1092:SSL alert number 40
2349:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:536:

無効にする方法は以下
>>
vi /etc/httpd/conf.d/ssl.conf
>>
SSLProtocol all -SSLv2 -SSLv3
>>
/etc/init.d/httpd configtest
>>
/etc/init.d/httpd graceful
or
/etc/init.d/httpd restart


Postfix
以下やっては見たが、メーラが非対応のものが多くて、結局、元に戻した。
<frame>
現状確認する。
<frame>
openssl s_client -connect siiz.biz:465 -crlf -ssl2
openssl s_client -connect siiz.biz:465 -crlf -ssl3
openssl s_client -connect siiz.biz:465 -crlf -tls1
</frame>

vi /etc/postfix/main.cf
<frame>
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
</frame>
>> reloadでいい。
/etc/init.d/postfix reload
>> restartしたければ。
/etc/init.d/postfix restart
</frame>


Dovecot
以下やっては見たが、メーラが非対応のものが多くて、結局、元に戻した。
<frame>
現状確認
<frame>
openssl s_client -connect siiz.biz:993 -crlf -ssl2
openssl s_client -connect siiz.biz:993 -crlf -ssl3
openssl s_client -connect siiz.biz:993 -crlf -tls1
openssl s_client -connect siiz.biz:993 -crlf -tls1_1
openssl s_client -connect siiz.biz:993 -crlf -tls1_2

openssl s_client -connect siiz.biz:995 -crlf -ssl2
openssl s_client -connect siiz.biz:995 -crlf -ssl3
openssl s_client -connect siiz.biz:995 -crlf -tls1
openssl s_client -connect siiz.biz:995 -crlf -tls1_1
openssl s_client -connect siiz.biz:995 -crlf -tls1_2
</frame>

vi /etc/dovecot/conf.d/10-ssl.conf
!SSLv3:を追加する。
<frame>
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL
</frame>
ssl_protocols = !SSLv2 !SSLv3
でもいい。

cipherの設定内容の確認は
<frame>
openssl ciphers -v 'ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL'
</frame>
で確認できる。
SSL3が確認できなければいい。
</frame>



// IE6でも、TLS1.0は利用できそうだ。
>>
IE7のHTTPS接続、SSL 2.0からSSL 3.0/TLS 1.0へ~IEBlogで明らかに
http://internet.watch.impress.co.jp/cda/news/2005/10/28/9674.html

// 以下のサイトが分かりやすく書いてある。
>>
POODLE: SSLv3.0 脆弱性 (CVE-2014-3566)
https://access.redhat.com/ja/articles/1232403
>>
AWS環境のPOODLE脆弱性対応 (CVE-2014-3566)
http://dev.classmethod.jp/cloud/aws/cve-2014-3566-poodle-issue/
>>
SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明
http://www.itmedia.co.jp/news/articles/1410/15/news054.html


// CVE-2014-3566は、ここに詳細かいてある。
>>
This POODLE Bites: Exploiting The SSL 3.0 Fallback
https://www.openssl.org/~bodo/ssl-poodle.pdf
>>
グーグルのセキュリティチーム、SSL 3.0の脆弱性「POODLE」を説明
http://japan.cnet.com/news/service/35055155/