SSLバージョン3(以下,SSLv3)に関してプロトコルの設計上の問題により,暗号化された情報を解読される脆弱性が報告されています。
学認技術ガイドに従って構築したIdP/SPの場合は,IdPはhttpdおよびTomcat,SPはhttpdが本脆弱性の影響を受ける可能性がありますので,サーバ側の対処としてSSLv3の無効化を行っていただくことをおすすめいたします。
■ httpdの対処方法
/etc/httpd/conf.d/ssl.confにおいて,
SSLProtocol行の末尾に「-SSLv3」を設定し,SSLv3を無効にします。
SSLProtocol all -SSLv2 -SSLv3 <-- 「-SSLv3」を追加します
■ Tomcatの対処方法(暫定版)
$CATALINA_BASE/conf/server.xmlにおいて,
SOAPの設定に「sslProtocols」と「sslEnabledProtocols」を設定し,
SSLv3を無効にします。
<Connector port="8443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLImplementation="edu.internet2.middleware.security.tomcat6.DelegateToApplicationJSSEImplementation"
scheme="https"
SSLEnabled="true"
clientAuth="want"
sslProtocols="TLSv1,TLSv1.1,TLSv1.2" <-- この行を追加します
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" <-- この行を追加します
keystoreFile="/opt/shibboleth-idp/credentials/keystore.jks"
keystorePass="キーストアパスワード" />
学認の環境ではsslProtocolsのみでSSLv3が無効となることを
確認していますが,環境によってはsslEnabledProtocolsが
必要となる可能性があります。
IdP管理者の方で異なる設定で対応されている方は
情報提供いただければ幸いです。
上記の対処は,IdPでBack-Channelの設定をしていない場合は不要です。
https://meatwiki.nii.ac.jp/confluence/pages/viewpage.action?pageId=12158421
httpd, Tomcatの他にも,OpenLDAPでLDAPSをご利用の場合も本脆弱性の影響を受ける可能性がありますので,ご確認いただくことをおすすめいたします。
参考情報:
- OpenSSL Security Advisory [15 Oct 2014]
(OpenSSL公式のセキュリティアドバイザリ)
https://www.openssl.org/news/secadv_20141015.txt
- POODLE: SSLv3 vulnerability (CVE-2014-3566)
https://access.redhat.com/articles/1232123
- Resolution for POODLE SSLv3.0 vulnerability (CVE-2014-3566) in httpd
https://access.redhat.com/solutions/1232413
- Disabling SSLv3 and SSLv2 in Tomcat and JBoss Web
https://access.redhat.com/solutions/1232233
本件に関する連絡先
===============================================
国立情報学研究所 学認事務局
TEL:03-4212-2218
===============================================
