お知らせ

SSL脆弱性(POODLE)についてのお知らせ(第2版)


平素はNTTコミュニケーションズ Bizホスティング Enterprise Cloud及びBizホスティング Enterprise をご利用いただき誠にありがとうございます。

この度、暗号化方式SSLv3で、中間者攻撃により通信内容が解読される脆弱性(CVE-2014-3566)が確認されました。

ご利用のソフトウェアベンダが提供する情報を元に、お客さまご自身で判断いただき、対応いただくことをお勧めいたします。

■対象バージョン情報

POODLE は、OpenSSLをはじめとするSSL v 3.0 を使用している場合に影響する可能性があります。
TLS暗号化方式は今回の脆弱性の対象外です。

■対応方法

各社から以下のようにアドバイザリ、および今後の方針がでています。
対応判断の参考としてください。

○参考1:各社のアドバイザリ情報
・Redhatからのアドバイザリ
https://access.redhat.com/ja/solutions/1232613

・MSからのアドバイザリ
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

○参考2:各Browserの方針
・Internet Explorer
SSLv3の無効化設定の案内
https://technet.microsoft.com/ja-jp/library/security/3009008.aspx

・Firefox
次期バージョンからデフォルトで SSL 3.0 を無効化するアナウンス
https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/

・Chrome
数ヵ月後には SSL 3.0 のサポートを完全に打ち切る予定の発表
http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html

■■ 脆弱性と対応方法の情報 ■■
※以下、サイトでも随時情報が更新されておりますので、継続的な確認を実施してください。

[IPAからの情報(日本語)]http://www.ipa.go.jp/security/announce/20141017-ssl.html

[JPCERT からの情報(日本語)]http://jvn.jp/vu/JVNVU98283300/

[Redhatからの情報(日本語)]○脆弱性情報
https://access.redhat.com/ja/node/1232403
○対応方法
https://access.redhat.com/ja/node/1232613

[OpenSSLからの情報(英語)]https://www.openssl.org/news/
15-Oct-2014: Security Advisory: four security fixes の記事に遷移してください。

- 以上 -
初版 2014年10月16日
第2版 2014年10月20日