脆弱性 Logjam Attack対策 for Firefox

2015.05.22.Fri

最終更新 2015/05/23

使用中のブラウザーを検査してくれるサイト

Logjam Attackについて解説されているページ
https://weakdh.org

この脆弱性は暗号プロトコルのDiffie-Hellman key exchange(DH)にあるもので、サーバーや各種ブラウザー等が影響を受けるそうです。

上記URLにアクセスするだけで、使用中のブラウザがLogjam Attack脆弱性のリスクを抱えているか否かを診断してくれます。

早速Firefox 38.0.1とIE10でアクセスしたら、Firefoxが赤(警告)、IE10が青(安全)でした。(OS:Windows8)

IE10は2015年5月のWindows Updateで修正済でした。

マイクロソフト セキュリティ情報 MS15-055
https://technet.microsoft.com/ja-jp/library/security/ms15-055.aspx

Logjam Attackのリスクがある場合は赤
Logjam Attackのリスクがある場合は赤く表示される。

普段利用しているのサイトの状態をチェックしてみたところ、Logjam Attackリスクのある所が結構ありました。

Logjam Attack対策は別として、いまだにTLS FALLBACK対策がとられていないサーバーがいくつかありました。SSL2まで利用可能なところも‥‥‥。

サーバーやシステム管理者などは別として、一般のユーザーがやるべきことはブラウザーのアップデート(だけ)。でも、修正が来るまで少し不安なので、Firefoxの設定を変えてみました。

Firefoxの設定変更

先に挙げたサイトには、DHE EXPORT ciphersが~と書かれているので、とりあえずDHEに関係する項目を探して無効に。

  1. Firefoxのロケーションバー(アドレスバー)にabout:configと入力し、Enterキー。
  2. 検索boxにDHEと入力。

  3. 一覧の中に、次の2行があったので、ダブルクリックでtrue(デフォルト)→falseに変更。

    • security.ssl3.dhe_rsa_aes_128_sha
    • security.ssl3.dhe_rsa_aes_256_sha
Firefoxでsecurity.ssl3.dhe_rsa_aes…をfalseにしたところ

その後、https://weakdh.org で確認したら、青(安全)に変わっていました。

Logjam Attackのリスクがない場合は青
Logjam Attackのリスクがない場合は青く表示される。

上記の変更で無効にしたものは、
(https://www.ssllabs.com/ssltest/viewMyClient.htmlでの診断によれば)

  • TLS_DHE_RSA_WITH_AES_128_CBC_SHA
  • TLS_DHE_RSA_WITH_AES_256_CBC_SHA

Firefoxの修正がきたらtrueに戻すことになるでしょう。

関連記事
Tag:セキュリティ脆弱性ブラウザ
Category: セキュリティ
Page Top