2014年10月15日に、SSL3.0の脆弱性（POODLE）が公開されました。
サーバとクライアント間の通信においてSSL3.0を使用している場合、パスワード等の
重要情報やCookie情報が第三者に漏えいする可能性があります。
　KUDOS管轄の情報処理教室のパソコンについては、順次対策を進めてまいりますので、
安心してご利用ください。
　自宅パソコンや持ち込みパソコン等、皆さまご自身で所有しているパソコンについては
下記をご参照の上、各自で対処いただきますようお願いいたします。

■緊急性について
　　この攻撃方法には複数の条件が必要です。中間者攻撃や、攻撃対象に大量の通信を
　　発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性
　　ではありません。

■対象ソフトウェア（主要なもののみ抜粋）
　　Internet Explorer
　　Firefox
　　Google Chrome

■対応策
　以下のとおり、SSL3.0の無効化の設定を行ってください。

（１）Internet Explorer
　　Microsoft 社から、回避策として「Fix it」が公開されました。
　　下記 URL に記載されている回避策の「Fix it ツールを利用する」を実施してください。
　　http://blogs.technet.com/b/jpsecurity/archive/2014/10/30/3009008-ssl3-rev.aspx

（２）Firefox
　　現行バージョンの Firefox で SSL 3.0 を無効化するアドオンが公開されています。
　　Mozilla Japan ブログ
　　http://www.mozilla.jp/blog/entry/10433/
　　また、11月25日リリースのFirefox 34からSSL3.0が廃止になりますので、11月25日以降、
　　ただちにFirefoxのアップデートを行ってください。

（３）Google Chrome
　　現時点で Google 社からは SSL 3.0 を無効化する方法は公開されていません。
　　Google社の対応としては、
　　11月18日頃リリース予定の「Chrome 39」でSSL3.0 のフォールバック機能を無効化
　　12月30日頃リリース予定の「Chrome 40」でSSL3.0 の完全無効化
　　というスケジュールになっておりますので、常に最新のバージョンで利用するよう
　　にしてください。

■SSL3.0を無効化することによる影響
　上述の対応策を行った場合、今まで閲覧できていた一部のサイトが閲覧できなくなる
　可能性がありますが、そういったサイトはごく一部のため、影響は少ないと思われます。

■参考サイト
　・IPA SSL 3.0 の脆弱性対策について(CVE-2014-3566)
　　https://www.ipa.go.jp/security/announce/20141017-ssl.html

　・マイクロソフト セキュリティ アドバイザリ 3009008
　　https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

　・Symantec 古いバージョンの SSL の脆弱性がもたらす新しい脅威
　　http://www.symantec.com/connect/ja/blogs/poodle-ssl

Tweet