• at+linkからのお知らせ一覧
  • プレスリリース一覧

at+linkからのお知らせ

2014.12.16

【第2報】SSL v3.0 の脆弱性について

いつも at+link をご利用いただき、ありがとうございます。
以前、「SSL v3.0 の脆弱性について」でお知らせした内容の続報です。

先日、TLS 通信において Padding Bytes の検証処理が行われていない実装の場合、影響を受けるという情報が公開されました。これには CVE-2014-8730 が割り当てられています。

詳細は以下のリンクをご参照ください。
JVNVU#98283300 SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)

[2014年12月11日 - 追記]

TLS 通信において Padding Bytes の検証処理が行われていない実装の場合、本脆弱性の影響を受ける可能性があります。

- The POODLE bites again (08 Dec 2014)(Imperial Violet)
- Bug 1171965 - (CVE-2014-8730) CVE-2014-8730 TLS: incorrect check of padding bytes when using CBC cipher suites( Red Hat Bugzilla)
- CVE-2014-8730( Red Hat Bugzilla)
- Poodle TLS vulnerability CVE-2014-8730 (RedHat Customer Portal)(RHNログイン必要)

■ 対象

RHEL および CentOSをご利用の場合、下記 NSS バージョンを利用されている場合は対策が必要となります。

・NSS version 3.12.7 以前のバージョンを利用しているサーバ

先のPOODLEの脆弱性(プロトコルに存在している脆弱性)とは異なり、NSSライブラリのバグが影響しております。
この問題はNSS 3.12.7 で修正されています。

Bug 571796 - ssl3_HandleRecord should check all the padding bytes, not just the first and last(Bugzilla@Mozilla)

この為、NSS version 3.12.8 およびこれ以降のバージョンを利用している場合は影響はありません。

RHEL 6(CentOS 6)は元々 nss-3.12.8 以降ですので、影響はございません。
また、RHEL ES4 ELS および RHEL 5(CentOS 5) では、最新バージョンでは 3.12.8以降となっていますので、こちらを利用されていれば問題ありません。

下記は、それぞれの OS での最新バージョンとなります。

- RHEL ES4 ELS :nss-3.12.10-10.el4
- RHEL5 :nss-3.16.2.3-1.el5_11
- RHEL6 :nss-3.16.2.3-3.el6_6
- CentOS5 :nss-3.16.2.3-1.el5_11
- CentOS6 :nss-3.16.2.3-3.el6_6

尚、openssl や gnutls への影響はございません。

■ 対策

NSS version 3.12.8 以前の場合は、アップデートを実施して下さい。
また、対策バージョン以降をご利用の場合でも、最新バージョンでなければ、可能であればアップデートを実施される事をお勧めします。

RHEL や CentOS では、rpm にて nss がインストールされています。
現在インストールされているパッケージのバージョンは、以下のコマンドで確認可能です。

# rpm -q nss

サーバにて OS 標準の nss を利用している場合、上記バージョンより古いものはアップデート対象となります。
アップデートは以下のコマンドから実行できます。

# yum update nss

nss だけでなく、すべてのパッケージにてアップデートを行う場合は以下のコマンドを実行します。
この場合、多くのパッケージがアップデートされますのでご注意ください。

# yum update

パッケージのアップデート後は、各サービスの再起動を実施してください。
可能であればサーバ再起動を実施してください。

戻る
  • このエントリーをはてなブックマークに追加
ページトップへ