ご利用ガイドSSL 3.0の脆弱性「POODLE」に関する注意

目次

「これは2015年5月17日以前にアカウント登録されたお客様向けの記事です。」

概要

2014年10月15日、SSL 3.0に深刻な脆弱性が発見されました(CVE-2014-3566)。この脆弱性は「POODLE」と称されています。

この脆弱性を使用してSSL通信を解読され、個人情報、パスワード、Cookieなどが盗まれる可能性があります。

SSLを使用したサイトを運用されているお客様は、WebサーバのSSL 3.0サポートを無効にすることを強くお勧めします。

 ・ Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback

 ・ Vulnerability Summary for CVE-2014-3566

ConoHaのお客様への影響

ConoHaで提供しているOSには、「テンプレートイメージ」「インストールイメージ」「アップロード済みISOイメージ」という3つの形式があります。このうち、後者の2つはお客様自身でインストール、運用を行っていただくものです。

テンプレートイメージを使って構築したVPSは、一部例外を除き、標準プラン、Windowsプラン共に初期状態でWebサーバはインストールされません。そのため、この脆弱性の影響は受けません。

一部例外というのは「nginx + WordPress」についてです。このテンプレートイメージは、初期状態でnginxがインストールされWebサーバが起動します。しかしSSLは無効になっているため、こちらも脆弱性の影響は受けません。

しかし、どのケースにおいても、お客様自身でWebサーバをインストールし、SSLを有効にした場合は、脆弱性の影響を受ける可能性があります。

対策

各Webサーバの設定でSSL 3.0を無効にします。

Apache(mod_ssl)の場合

SSLProtocolディレクティブで、SSLv3を無効にします。

その後Apacheを再起動してください。

SSLProtocol All -SSLv2 -SSLv3

 ・ mod_ssl – Apache HTTP Server Version 2.2

nginxの場合

ngx_http_ssl_moduleのssl_protocolsディレクティブからSSLv3を削除します。

その後、nginxを再起動してください。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

 ・ Module ngx_http_ssl_module

IISの場合

レジストリの設定を変更することで、SSL 3.0を無効にできます。

 ・ インターネット インフォメーション サービスで PCT 1.0、SSL 2.0、SSL 3.0、または TLS 1.0 を無効にする方法

参考情報

 ・ Google Online Security Blog: This POODLE bites: exploiting the SSL 3.0 fallback

 ・ Vulnerability Summary for CVE-2014-3566

 ・ SSL 3.0に深刻な脆弱性「POODLE」見つかる Googleが対策を説明 – ITmedia ニュース

問題は解決できましたか?

ご回答ありがとうございます。

ご回答受け付けました。ご協力ありがとうございました。