11月23日までに明らかになった脆弱性情報のうち、気になるものを紹介します。それぞれ、ベンダーが提供する情報などを参考に対処してください。
SSL 3.0の脆弱性(CVE-2014-3566)(2014/11/17)
10月15日、SSL 3.0のCBC(Cipher Block Chaining)モードに、中間者攻撃によりSSL通信の暗号文の解読を許してしまう脆弱性(CVE-2014-3566)の存在が報告されました。この問題は、別名POODLE(Padding Oracle On Downgraded Legacy Encryption)問題とも呼ばれています。
セキュリティ機構の危殆化への対応として、SSL 3.0の無効化措置と合わせて、緩和策となるSCSV(TLS Fallback Signaling Cipher Suite Value)の導入、TLS 1.1/TLS 1.2の導入の推進が推奨されます。Alexa:Top Sites in Japanの上位200サイト(うち、119サイトが調査対象)のプロトコルサポート状況を調査した結果、SSL 3.0をサポートするサイトは68%(10月18日)から45%(11月17日)となっています(図1、図2)。
SSL 3.0+TLS 1.0/1.1/1.2をサポートしていたサイトでは、SSL 3.0の無効化措置を実施しています(38サイトのうち19サイト)。また、SSL 3.0+TLS 1.0サポートしていたサイトでは、SSL 3.0の無効化措置のみ(26サイトのうち4サイト)、SSL 3.0の無効化措置とTLS 1.1/TLS 1.2の導入(26サイトのうち4サイト)、TLS 1.1/TLS 1.2の導入(26サイトのうち2サイト)となっており、SSL 3.0の無効化措置だけではなく、TLS 1.1/TLS 1.2の導入も進められていることが分かります。
