ご利用ガイドSSL 3.0の脆弱性「POODLE」に関する注意
目次
「これは2015年5月17日以前にアカウント登録されたお客様向けの記事です。」
概要
2014年10月15日、SSL 3.0に深刻な脆弱性が発見されました(CVE-2014-3566)。この脆弱性は「POODLE」と称されています。
この脆弱性を使用してSSL通信を解読され、個人情報、パスワード、Cookieなどが盗まれる可能性があります。
SSLを使用したサイトを運用されているお客様は、WebサーバのSSL 3.0サポートを無効にすることを強くお勧めします。
・ Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
・ Vulnerability Summary for CVE-2014-3566
ConoHaのお客様への影響
ConoHaで提供しているOSには、「テンプレートイメージ」「インストールイメージ」「アップロード済みISOイメージ」という3つの形式があります。このうち、後者の2つはお客様自身でインストール、運用を行っていただくものです。
テンプレートイメージを使って構築したVPSは、一部例外を除き、標準プラン、Windowsプラン共に初期状態でWebサーバはインストールされません。そのため、この脆弱性の影響は受けません。
一部例外というのは「nginx + WordPress」についてです。このテンプレートイメージは、初期状態でnginxがインストールされWebサーバが起動します。しかしSSLは無効になっているため、こちらも脆弱性の影響は受けません。
しかし、どのケースにおいても、お客様自身でWebサーバをインストールし、SSLを有効にした場合は、脆弱性の影響を受ける可能性があります。
対策
各Webサーバの設定でSSL 3.0を無効にします。
Apache(mod_ssl)の場合
SSLProtocolディレクティブで、SSLv3を無効にします。
その後Apacheを再起動してください。
SSLProtocol All -SSLv2 -SSLv3・ mod_ssl – Apache HTTP Server Version 2.2
nginxの場合
ngx_http_ssl_moduleのssl_protocolsディレクティブからSSLv3を削除します。
その後、nginxを再起動してください。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;IISの場合
レジストリの設定を変更することで、SSL 3.0を無効にできます。
・ インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法
参考情報
・ Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback
・ Vulnerability Summary for CVE-2014-3566
・ SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 – ITmedia ニュース
