メールサーバー&DBサーバー60日間無料!8月31日まで
ドキュメント
  • ご利用ガイド
  • SSL 3.0の脆弱性「POODLE」に関する注意

    SSL 3.0の脆弱性「POODLE」に関する注意

    2014/10/15 16:00

    SSL 3.0の脆弱性「POODLE」に関する注意

    概要

    「これは2015年5月17日以前にアカウント登録されたお客様向けの記事です。」

    2014年10月15日、SSL 3.0に深刻な脆弱性が発見されました(CVE-2014-3566)。この脆弱性は「POODLE」と称されています。

    この脆弱性を使用してSSL通信を解読され、個人情報、パスワード、Cookieなどが盗まれる可能性があります。

    SSLを使用したサイトを運用されているお客様は、WebサーバのSSL 3.0サポートを無効にすることを強くお勧めします。
     ・ Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
     ・ Vulnerability Summary for CVE-2014-3566


    ConoHaのお客様への影響

    ConoHaで提供しているOSには、「テンプレートイメージ」「インストールイメージ」「アップロード済みISOイメージ」という3つの形式があります。このうち、後者の2つはお客様自身でインストール、運用を行っていただくものです。

    テンプレートイメージを使って構築したVPSは、一部例外を除き、標準プラン、Windowsプラン共に初期状態でWebサーバはインストールされません。そのため、この脆弱性の影響は受けません。

    一部例外というのは「nginx + WordPress」についてです。このテンプレートイメージは、初期状態でnginxがインストールされWebサーバが起動します。しかしSSLは無効になっているため、こちらも脆弱性の影響は受けません。

    しかし、どのケースにおいても、お客様自身でWebサーバをインストールし、SSLを有効にした場合は、脆弱性の影響を受ける可能性があります。


    対策

    各Webサーバの設定でSSL 3.0を無効にします。


    Apache(mod_ssl)の場合

    SSLProtocolディレクティブで、SSLv3を無効にします。
    その後Apacheを再起動してください。

    SSLProtocol All -SSLv2 -SSLv3

     ・ mod_ssl - Apache HTTP Server Version 2.2


    nginxの場合

    ngx_http_ssl_moduleのssl_protocolsディレクティブからSSLv3を削除します。
    その後、nginxを再起動してください。

    ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

     ・ Module ngx_http_ssl_module


    IISの場合

    レジストリの設定を変更することで、SSL 3.0を無効にできます。

     ・ インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法


    参考情報

     ・ Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
     ・ Vulnerability Summary for CVE-2014-3566
     ・ SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia ニュース

    今すぐお申し込み