SSL3.0の脆弱性に関する注意喚起

 2014年10月15日に、SSL3.0の脆弱性(POODLE)が公開されました。
サーバとクライアント間の通信においてSSL3.0を使用している場合、パスワード等の
重要情報やCookie情報が第三者に漏えいする可能性があります。
 KUDOS管轄の情報処理教室のパソコンについては、順次対策を進めてまいりますので、
安心してご利用ください。
 自宅パソコンや持ち込みパソコン等、皆さまご自身で所有しているパソコンについては
下記をご参照の上、各自で対処いただきますようお願いいたします。

■緊急性について
  この攻撃方法には複数の条件が必要です。中間者攻撃や、攻撃対象に大量の通信を
  発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性
  ではありません。

■対象ソフトウェア(主要なもののみ抜粋)
  Internet Explorer
  Firefox
  Google Chrome

■対応策
 以下のとおり、SSL3.0の無効化の設定を行ってください。

(1)Internet Explorer
  Microsoft 社から、回避策として「Fix it」が公開されました。
  下記 URL に記載されている回避策の「Fix it ツールを利用する」を実施してください。
  http://blogs.technet.com/b/jpsecurity/archive/2014/10/30/3009008-ssl3-rev.aspx

(2)Firefox
  現行バージョンの Firefox で SSL 3.0 を無効化するアドオンが公開されています。
  Mozilla Japan ブログ
  http://www.mozilla.jp/blog/entry/10433/
  また、11月25日リリースのFirefox 34からSSL3.0が廃止になりますので、11月25日以降、
  ただちにFirefoxのアップデートを行ってください。

(3)Google Chrome
  現時点で Google 社からは SSL 3.0 を無効化する方法は公開されていません。
  Google社の対応としては、
  11月18日頃リリース予定の「Chrome 39」でSSL3.0 のフォールバック機能を無効化
  12月30日頃リリース予定の「Chrome 40」でSSL3.0 の完全無効化
  というスケジュールになっておりますので、常に最新のバージョンで利用するよう
  にしてください。

■SSL3.0を無効化することによる影響
 上述の対応策を行った場合、今まで閲覧できていた一部のサイトが閲覧できなくなる
 可能性がありますが、そういったサイトはごく一部のため、影響は少ないと思われます。

■参考サイト
 ・IPA SSL 3.0 の脆弱性対策について(CVE-2014-3566)
  https://www.ipa.go.jp/security/announce/20141017-ssl.html

 ・マイクロソフト セキュリティ アドバイザリ 3009008
  https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

 ・Symantec 古いバージョンの SSL の脆弱性がもたらす新しい脅威
  http://www.symantec.com/connect/ja/blogs/poodle-ssl


カテゴリー: お知らせ | 日付: