SSL 3.0 の深刻な脆弱性「POODLE」につきまして
お客様各位
日頃はValueSSLをご利用頂きまして誠にありがとうございます。
2014年 10月14日、米Google のセキュリティチームは SSL 3.0 の深刻な脆弱性「POODLE」(Padding Oracle On Downgraded Legacy Encryption)の発見について発表しました。
この脆弱性を悪用した場合、パスワードやクッキーにアクセスが可能となり、Web サイト上のユーザーの個人情報を盗めるようになります。
米Google のセキュリティチームはシステム管理者へ Web サイトの SSL のバージョン(SSL3.0を無効とする)の更新を強く勧めています。
■本脆弱性による SSL サーバ証明書の再発行や再インストールの必要はありません。
シマンテックのサポートページ
https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR2183
ジオトラストのサポートページ
https://knowledge.geotrust.com/support/knowledge-base/index?page=content&id=AR2185
SSL サーバ証明書の再発行や再インストールの必要はありませんが
サーバ側システム管理者の対応としましてSSL3.0を無効にすることを強く推奨いたします。
■本脆弱性に対する対応策は下記のベンダーのサポートページをご参照下さい。
Microsoft
https://technet.microsoft.com/library/security/3009008.aspx
Apache
http://httpd.apache.org/docs/2.2/ssl/ssl_faq.html#msie
Tomcat
http://tomcat.apache.org/tomcat-6.0-doc/apr.html#HTTPS
Nginx
http://nginx.com/blog/nginx-poodle-ssl/
F5 Big IP
https://devcentral.f5.com/articles/cve-2014-3566-removing-sslv3-from-big-ip
Red Hat
https://access.redhat.com/articles/1232123
最終更新日 2014 年 10 月 16 日 木曜日 RSS 2.0