POODLE問題

この前はShellに関する脆弱性がありましたが、今度はSSL(Secure Sockets Layer)のver.3.0に脆弱性が発見されたようです。

今度はPOODLE(Padding Oracle On Downgraded Legacy Encryption)ですか…毎度思いますが、この手の命名センスはちょっと感心します(笑)

しかし今回ばかりはのんびり静観するわけにもいかないので、ユーザーは急ぎブラウザ側の対応が必要なようです。

20141018_1

IEの場合はインターネットオプションにて「SSL 3.0 を使用する」を「OFF」にするだけなので、難しいことはありません。
Firefoxの場合は現時点では“about:config”で「security.tls.version.min」の設定を「1」に修正します。分からない場合はアップデートを待ちましょう。

サーバー側はApacheのssl.confファイルの修正が必要です。

# vi /etc/httpd/conf.d/ssl.conf
  :
(中略)
SSLProtocol All -SSLv2 -SSLv3 ←SSLv3無効化を追記

# systemctl restart httpd

今のブラウザはTLS1.2まで対応しているので、サーバー側はこれでOKです。

%d人のブロガーが「いいね」をつけました。