新着情報

SSLv3脆弱性 POODLE Attackについて(お知らせ)


各種報道などで取り上げられておりますPOODLE(Padding Oracle On Downgraded Legacy Encryption) attackに対するSSLv3の脆弱性についてお知らせいたします。

本件はHEART BLEEDCCS Injectionと違い、SSLv3というプロトコル仕様が持つ脆弱性であり、「修正パッチ」は存在しません。

SSLv3を使わないようにする」が根本解決方法となります。

・脆弱性についての情報(情報処理推進機構:IPA

http://www.ipa.go.jp/security/announce/20141017-ssl.html

OpenSSL

https://www.openssl.org/~bodo/ssl-poodle.pdf

今回の脆弱性は、SSLv3環境でCBCを用いた暗号スイートを使用した場合、暗号文の元となった平文の内容が特定される、というものです。

Centeミドルウエアとしては以下の対応を行います。

・Cente SSL(販売終了品)・・・

コード上にあるSSLv3を無効にする手段を開示します。

・Cente Compact SSLc・・・

コード上にあるSSLv3を無効にする手段を開示します。

・Cente Compact SSLd・・・

TLS_FALLBACK_SCSVオプション機能を追加し、バージョンアップを行います。

なお、今回のPOODLE attack問題より、CenteではTLSv1からSSLv3へ接続を変更する運用(フォールバック)は推奨致しません。

そのため、Cente Compact SSLcパッケージのTLS_FALLBACK_SCSVオプションの追加についても標準パッケージとしては行いません。

SSLv3を使用しない運用で回避願います。

ご理解の程、よろしくお願い致します。

詳細は お問い合わせ窓口からお問い合わせください