[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00860] Re: SSLバージョン3の脆弱性について (CVE-2014-3566)



西村です。

Tomcatの対処方法についてですが

>             sslProtocols="TLSv1,TLSv1.1,TLSv1.2"        <-- この行を追加します
>             sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" <-- この行を追加します

前者について sslProtocol(sが付かない)という紛らわしい設定項目がありますが、今回設定しなければならないのは sslProtocols(sが付く)のほうです。
混同しないようにご注意ください。

また、TLSv1.1, TLSv1.2という記述をしていますが、実際に使用できるか否かはJava(JVM)のバージョンによります。
記述していても問題ないことを確認しておりますのでバージョンに依存しない記述にしております。


LDAPSについての情報:
Shib Users ML: Shib IDP's LDAPS attribute resolution and SSLv3
http://marc.info/?t=141340147700001&r=1&w=2
Active Directory(AD)のLDAPS(サーバ側)でSSLv3を無効にしたらShibboleth IdPと接続できなくなった、という情報がありますのでくれぐれもご注意ください。

LDAPSでなくStartTLSを使っている場合は問題ないようです。現時点では、無効にする方法に問題があるのではないかという見解です。

2014/10/16 18:57、国立情報学研究所 学認事務局 野田 <xxxxxxxxxxxxxx@xxxxxxxxx> のメール:

>  国立情報学研究所・学認事務局です。
> 平素より学認の事業にご協力を賜り,ありがとうございます。
> 
> SSLバージョン3(以下,SSLv3)に関してプロトコルの設計上の問題により,暗
> 号化された情報を解読される脆弱性が報告されています。
> 
> 学認技術ガイドに従って構築したIdP/SPの場合は,IdPはhttpdおよびTomcat,
> SPはhttpdが本脆弱性の影響を受ける可能性がありますので,サーバ側の対処と
> してSSLv3の無効化を行っていただくことをおすすめいたします。
> 
> ■ httpdの対処方法
> 
>  /etc/httpd/conf.d/ssl.confにおいて,SSLProtocol行の末尾に「-SSLv3」を
>  設定し,SSLv3を無効にします。
> 
>  SSLProtocol all -SSLv2 -SSLv3  <-- 「-SSLv3」を追加します
> 
> 
> ■ Tomcatの対処方法(暫定版)
> 
>  $CATALINA_BASE/conf/server.xmlにおいて,SOAPの設定に「sslProtocols」
>  と「sslEnabledProtocols」を設定し,SSLv3を無効にします。
> 
> <Connector port="8443"
>             protocol="org.apache.coyote.http11.Http11Protocol"
> 
> SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
>             scheme="https"
>             SSLEnabled="true"
>             clientAuth="want"
>             sslProtocols="TLSv1,TLSv1.1,TLSv1.2"        <-- この行を追
> 加します
>             sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" <-- この行を追
> 加します
>             keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
>             keystorePass="キーストアパスワード" />
> 
>  学認の環境ではsslProtocolsのみでSSLv3が無効となることを確認しています
>  が,環境によってはsslEnabledProtocolsが必要となる可能性があります。
>  IdP管理者の方で異なる設定で対応されている方は情報提供いただければ幸い
>  です。
> 
> 
> 上記の対処は,IdPでBack-Channelの設定をしていない場合は不要です。
> https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158421
> 
> 
> httpd, Tomcatの他にも,OpenLDAPでLDAPSをご利用の場合も本脆弱性の影響を
> 受ける可能性がありますので,ご確認いただくことをおすすめいたします。
> 
> 
> 参考情報:
> 
> ・OpenSSL Security Advisory [15 Oct 2014] (OpenSSL公式のセキュリティア
>  ドバイザリ)
>  https://www.openssl.org/news/secadv_20141015.txt
> 
> ・POODLE: SSLv3 vulnerability (CVE-2014-3566)
>  https://access.redhat.com/articles/1232123
> 
> ・Resolution for POODLE SSLv3.0 vulnerability (CVE-2014-3566) in httpd
>  https://access.redhat.com/solutions/1232413
> 
> ・Disabling SSLv3 and SSLv2 in Tomcat and JBoss Web
>  https://access.redhat.com/solutions/1232233

-- 
西村健
国立情報学研究所 TEL:03-4212-2890