2014年10月15日、「お客様への重要なお知らせ」にてご報告した『SSL 3.0に関する脆弱性について (Padding Oracle On Downgraded Legacy Encryption)』では、SSL 3.0プロトコルにのみ影響があるとされていました。しかし、このたび一部のTLS 1.0 / TLS 1.1においても、SSLで保護されたウェブサイトとブラウザの間で、ハッカーの通信傍受や暗号解読が可能であることがわかりました。

TLSパケット内で利用されているパディング構成を適切にチェックしていない実装がされている場合、この脆弱性の影響を受けます。今のところ、F5ネットワークスとA10ネットワークスのロードバランサでTLS接続をハンドルしているウェブサイトで、この脆弱性が発見されています。
より技術的な知見はGoogleセキュリティエンジニアAdam Langleyの投稿『The POODLE bites again (08 Dec 2014)』をご確認ください。

何をすべき?

  • 1.the Qualys SSL LabsのSSL Server testを利用してご利用中のサーバに影響があるかをご確認ください。
  • 2.ベンダーから提供されたパッチを適用してください。F5はこちら、A10はこちらから取得できます。告知され次第、影響あるベンダーを追加で記載いたします。

注意:この脆弱性はご利用中のSSLサーバ証明書には何も影響がございません。現時点であらゆるSSLサーバ証明書の再発行、更新、再インストールは不要です。

新たな情報が公表され次第、当ブログを更新いたします。

トピック関連記事

#

2021年04月06日

不正アクセス事例から学ぶ、VPN接続のセキュリティ強化

#

2016年05月09日

OpenSSLのセキュリティアップデートが公開

#

2015年11月02日

iOSにも迫るマルウェアのリスクと対策を知ろう~XcodeGhost問題の発覚から現在まで~

この記事を書きました

Doug Beattie

Doug Beattie
所属:Vice President, Product Management, GlobalSign Inc.