シンガポール・サンノゼリージョン全プラン 30日間 25%OFF!
ドキュメントご利用ガイドSSL 3.0の脆弱性「POODLE」に関する注意

SSL 3.0の脆弱性「POODLE」に関する注意

2014/10/15 16:00

SSL 3.0の脆弱性「POODLE」に関する注意

概要

「これは2015年5月17日以前にアカウント登録されたお客様向けの記事です。」

2014年10月15日、SSL 3.0に深刻な脆弱性が発見されました(CVE-2014-3566)。この脆弱性は「POODLE」と称されています。

この脆弱性を使用してSSL通信を解読され、個人情報、パスワード、Cookieなどが盗まれる可能性があります。

SSLを使用したサイトを運用されているお客様は、WebサーバのSSL 3.0サポートを無効にすることを強くお勧めします。
 ・ Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
 ・ Vulnerability Summary for CVE-2014-3566


ConoHaのお客様への影響

ConoHaで提供しているOSには、「テンプレートイメージ」「インストールイメージ」「アップロード済みISOイメージ」という3つの形式があります。このうち、後者の2つはお客様自身でインストール、運用を行っていただくものです。

テンプレートイメージを使って構築したVPSは、一部例外を除き、標準プラン、Windowsプラン共に初期状態でWebサーバはインストールされません。そのため、この脆弱性の影響は受けません。

一部例外というのは「nginx + WordPress」についてです。このテンプレートイメージは、初期状態でnginxがインストールされWebサーバが起動します。しかしSSLは無効になっているため、こちらも脆弱性の影響は受けません。

しかし、どのケースにおいても、お客様自身でWebサーバをインストールし、SSLを有効にした場合は、脆弱性の影響を受ける可能性があります。


対策

各Webサーバの設定でSSL 3.0を無効にします。


Apache(mod_ssl)の場合

SSLProtocolディレクティブで、SSLv3を無効にします。
その後Apacheを再起動してください。

SSLProtocol All -SSLv2 -SSLv3

 ・ mod_ssl - Apache HTTP Server Version 2.2


nginxの場合

ngx_http_ssl_moduleのssl_protocolsディレクティブからSSLv3を削除します。
その後、nginxを再起動してください。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

 ・ Module ngx_http_ssl_module


IISの場合

レジストリの設定を変更することで、SSL 3.0を無効にできます。

 ・ インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法


参考情報

 ・ Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
 ・ Vulnerability Summary for CVE-2014-3566
 ・ SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 - ITmedia ニュース

今すぐお申し込み