httpd における POODLE SSLv3.0 脆弱性問題の解決方法 (CVE-2014-3566)

Netscape 社は、当初、ネットワーク上で送信されたデータを保護する方法として、Secure Sockets Layer (SSL) を開発していました。バージョン 1 はリリースされていませんが、1995 年 2 月に SSLv2 がリリースされた時は不具合が多く、不安定でした。暗号化は常に変化していくため、一ヶ月前に推奨される設定が、現在も推奨されるとは限りません。このため、現在推奨される暗号化設定を使用する必要があります。

現在推奨される方法は、TLSv1.1 と TLSv1.2 だけを使用することです。後方互換性は、TLSv1.0 を使用すると実行できます。SSLv2 および SSLv3 は安全ではないため、使用は推奨されません。Red Hat でサポートされているすべての製品には、これらのプロトコルを使用する機能があります。デフォルトで無効にすることはできますが、サービスを使用する前に設定を常に確認することが重要になります。

この脆弱性は httpd に影響します。この問題を軽減するには、/etc/httpd/conf.d/ssl.conf の SSLProtocol ディレクティブを以下のように設定してください。

オプション 1: SSLv2 および SSLv3 を無効にする (SSLv2 と SSLv3 以外はすべて有効にする)

    SSLProtocol All -SSLv2 -SSLv3

オプション 2: TLSv1.x 以外をすべて無効にする

RHEL 7、または RHEL 6.6 以降の場合:

    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

その他のプラットフォームの場合:

    SSLProtocol -All +TLSv1

次に httpd を再起動します。

    # service httpd restart