Poodle 退治をするならこれだ!SSLv3.0 脆弱性対策
▪️ 概要
中間者(MITM)攻撃を実行してセキュアHTTP cookieを復号し、被害者のオンラインアカウントの情報を盗んだり、アカウントを操作したり可能になる。
▪️ 対策
SSLv3.0を使わないようにする。
基本SSLv3.0を無効にしても問題は起きないが、
IE6はTLSv1.0をサポートしていないので問題がでる。
▪️ 参考サイト
http://kb.sp.parallels.com/en/123160
https://www.digitalocean.com/community/tutorials/how-to-protect-your-server-against-the-poodle-sslv3-vulnerability
※こちらの方がずっと詳しいです。ここに載せていない手順は下記サイトをご参考にしてください。
http://blog.livedoor.jp/k_urushima/archives/1752935.html
▪️Apache (WWW) の場合 443
# vi /etc/httpd/conf.d/ssl.conf
SSLProtocol All -SSLv2 -SSLv3
# /etc/init.d/httpd restart
▪️Parallel対策 8443
# vi /etc/sw-cp-server/config
...
http {
include mime.types;
...
include /etc/sw-cp-server/conf.d/*.conf;
#for Poodle
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
}$ sudo service sw-cp-server restart
▪️FTPサーバ 対策 (vsftpd) 21
# vi /etc/vsftpd/vsftpd.conf
ssl_tlsv1=YES
ssl_sslv2=NO
ssl_sslv3=NO# service vsftpd restart
# vi /etc/proftpd.comf
TLSProtocol TLSv1
# /etc/init.d/proftpd restart // proftpdサービスの場合
# /etc/init.d/xinetd restart // xinetd経由で起動の場合
▪️STMPサーバ対策 (postfix) 465, 587
# vi /etc/postfix/main.cf
smtpd_tls_mandatory_protocols=!SSLv2, !SSLv3 //追記# /etc/init.d/postfix restart
# wget http://kb.sp.parallels.com/Attachments/kcs-40007/poodle.zip
# upzip poodle.zip
# chmod +x poodle.sh
# for i in `echo 21 587 443 465 7081 8443 993 995 `; do /bin/sh /root/poodle.sh 192.168.x.x $i; donebash-4.1# for i in `echo 21 587 443 465 7081 8443 993 995 `; do /bin/sh /root/poodle.sh 192.168.x.x $i; done
192.168.x.x:21 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:587 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:443 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:465 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:7081 - Not vulnerable. Failed to establish SSL connection.
192.168.x.x:8443 - Not vulnerable. Failed to establish SSLv3 connection.
192.168.x.x:993 - Not vulnerable. Failed to establish SSL connection.
192.168.x.x:995 - Not vulnerable. Failed to establish SSL connection.
# POP/IMAPは利用しないのでサービス停止で対応
こんな感じで対策しましたとさ。