2014年10月15日に、SSL3.0の脆弱性(POODLE)が公開されました。
サーバとクライアント間の通信においてSSL3.0を使用している場合、パスワード等の
重要情報やCookie情報が第三者に漏えいする可能性があります。
KUDOS管轄の情報処理教室のパソコンについては、順次対策を進めてまいりますので、
安心してご利用ください。
自宅パソコンや持ち込みパソコン等、皆さまご自身で所有しているパソコンについては
下記をご参照の上、各自で対処いただきますようお願いいたします。
■緊急性について
この攻撃方法には複数の条件が必要です。中間者攻撃や、攻撃対象に大量の通信を
発生させるなど一定の条件が必要になります。そのためただちに悪用可能な脆弱性
ではありません。
■対象ソフトウェア(主要なもののみ抜粋)
Internet Explorer
Firefox
Google Chrome
■対応策
以下のとおり、SSL3.0の無効化の設定を行ってください。
(1)Internet Explorer
Microsoft 社から、回避策として「Fix it」が公開されました。
下記 URL に記載されている回避策の「Fix it ツールを利用する」を実施してください。
http://blogs.technet.com/b/jpsecurity/archive/2014/10/30/3009008-ssl3-rev.aspx
(2)Firefox
現行バージョンの Firefox で SSL 3.0 を無効化するアドオンが公開されています。
Mozilla Japan ブログ
http://www.mozilla.jp/blog/entry/10433/
また、11月25日リリースのFirefox 34からSSL3.0が廃止になりますので、11月25日以降、
ただちにFirefoxのアップデートを行ってください。
(3)Google Chrome
現時点で Google 社からは SSL 3.0 を無効化する方法は公開されていません。
Google社の対応としては、
11月18日頃リリース予定の「Chrome 39」でSSL3.0 のフォールバック機能を無効化
12月30日頃リリース予定の「Chrome 40」でSSL3.0 の完全無効化
というスケジュールになっておりますので、常に最新のバージョンで利用するよう
にしてください。
■SSL3.0を無効化することによる影響
上述の対応策を行った場合、今まで閲覧できていた一部のサイトが閲覧できなくなる
可能性がありますが、そういったサイトはごく一部のため、影響は少ないと思われます。
■参考サイト
・IPA SSL 3.0 の脆弱性対策について(CVE-2014-3566)
https://www.ipa.go.jp/security/announce/20141017-ssl.html
・マイクロソフト セキュリティ アドバイザリ 3009008
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx
・Symantec 古いバージョンの SSL の脆弱性がもたらす新しい脅威
http://www.symantec.com/connect/ja/blogs/poodle-ssl