POODLE問題
dukehideこの前はShellに関する脆弱性がありましたが、今度はSSL(Secure Sockets Layer)のver.3.0に脆弱性が発見されたようです。
今度はPOODLE(Padding Oracle On Downgraded Legacy Encryption)ですか…毎度思いますが、この手の命名センスはちょっと感心します(笑)
しかし今回ばかりはのんびり静観するわけにもいかないので、ユーザーは急ぎブラウザ側の対応が必要なようです。
IEの場合はインターネットオプションにて「SSL 3.0 を使用する」を「OFF」にするだけなので、難しいことはありません。
Firefoxの場合は現時点では“about:config”で「security.tls.version.min」の設定を「1」に修正します。分からない場合はアップデートを待ちましょう。
サーバー側はApacheのssl.confファイルの修正が必要です。
# vi /etc/httpd/conf.d/ssl.conf
:
(中略)
SSLProtocol All -SSLv2 -SSLv3 ←SSLv3無効化を追記
# systemctl restart httpd
:
(中略)
SSLProtocol All -SSLv2 -SSLv3 ←SSLv3無効化を追記
# systemctl restart httpd
今のブラウザはTLS1.2まで対応しているので、サーバー側はこれでOKです。
Follow me!
