新着情報

SSLv3脆弱性 POODLE Attackについて(お知らせ)


 

各種報道などで取り上げられておりますPOODLE(Padding Oracle On Downgraded Legacy Encryption) attackに対するSSLv3の脆弱性についてお知らせいたします。

本件はHEART BLEEDCCS Injectionと違い、SSLv3というプロトコル仕様が持つ脆弱性であり、「修正パッチ」は存在しません。

SSLv3を使わないようにする」が根本解決方法となります。

 

・脆弱性についての情報(情報処理推進機構:IPA

http://www.ipa.go.jp/security/announce/20141017-ssl.html

OpenSSL

https://www.openssl.org/~bodo/ssl-poodle.pdf

 

今回の脆弱性は、SSLv3環境でCBCを用いた暗号スイートを使用した場合、暗号文の元となった平文の内容が特定される、というものです。

 

Centeミドルウエアとしては以下の対応を行います。

・Cente SSL(販売終了品)・・・

コード上にあるSSLv3を無効にする手段を開示します。

・Cente Compact SSLc・・・

コード上にあるSSLv3を無効にする手段を開示します。

・Cente Compact SSLd・・・

TLS_FALLBACK_SCSVオプション機能を追加し、バージョンアップを行います。

 

なお、今回のPOODLE attack問題より、CenteではTLSv1からSSLv3へ接続を変更する運用(フォールバック)は推奨致しません。

そのため、Cente Compact SSLcパッケージのTLS_FALLBACK_SCSVオプションの追加についても標準パッケージとしては行いません。

SSLv3を使用しない運用で回避願います。

 

ご理解の程、よろしくお願い致します。

 

詳細は sales@cente.jp までお問い合わせください。

Social Media