
SSL 3.0の脆弱性「POODLE」はTLSにも影響する 24
ストーリー by hylom
油断大敵 部門より
油断大敵 部門より
先日、SSL3.0の脆弱性(通称「POODLE」)が発見されたが、この脆弱性がTLSにも影響する可能性があることが明らかになった(JVNVU#98283300、CNET Japan)。
TLS通信においても、Padding Bytesの検証処理が行われていない実装の場合、この脆弱性の影響を受ける可能性があるとのこと。実際に影響を受けるTLS実装も確認されている模様。
仕様バグと実装バグ (スコア:5, 参考になる)
SSL3.0は仕様上の脆弱性(仕様バグ)だけど、
TLSで同じ脆弱性をもたせちゃうのは仕様からの逸脱なので実装バグ。
だからSSL3.0は無効化でも良いけど、TLSの方はちゃんと修正しないといけないね。
該当する実装においては、速やかに対応されることを望みます。
# コピペとか実装の共有とか色々あるけど、こういうのはついついやっちまいそうなので怖い。
SSL3.0、TLS1.0をオフにしても盗聴されるFC2掲示板 (スコア:0)
FC2はプードル攻撃をもろに受けているようだ。
FC2の掲示板はロシアスパマーに攻撃され、掲示板が機能せず、Google検索結果でリンクをクリックしてもFC2掲示板に辿り着けない。
FC2掲示板なんか作成しても時間の無駄。
勝手に掲示板を削除されちゃ堪らない。
何の警告もなく、ロシアが投下したスパムのせいで全て瞬時に掲示板ごと消え失せる。
PS3は大丈夫か? (スコア:0)
TLS対応せずに捨てられるかと思ったら、こっそり対応してたんですよね。
また駄目になったりしないよな…
おふとp (スコア:0)
ゲーム機でTLSといったら普通は、どてらが似合って情報収集能力が以上に高い妹が出てくるギャルゲ [wikipedia.org]を思い浮かべると思うんだ…
またまた対応せにゃならんのか (スコア:0)
オープンソース神話なんてなかった
Re:またまた対応せにゃならんのか (スコア:1)
F5やA10のネットワーク機器がオープンソースだったとは知りませんでした。どこでダウンロードできますか?
Re: (スコア:0)
F5やA10だけの話じゃないんですが…そもそもTLSがオープンでは無いと言うのですか?
各社のTLS実装がオープンでないと言うならそれはそうですが
Re:またまた対応せにゃならんのか (スコア:2, 参考になる)
そもそも(SSLv3の場合と違って)TLSの仕様自体の脆弱性じゃないんだから各社の実装の話になるのは当然。
Re:またまた対応せにゃならんのか (スコア:2, 参考になる)
ちなみにオープンなTLS実装だけどよく脆弱性が見つかるOpenSSLは、この件に限っては問題ないらしい。
http://blog.livedoor.jp/k_urushima/archives/1753572.html [livedoor.jp]
Re: (スコア:0)
また徹夜の日々が続くのか…勘弁してくれ
ノープロブレム (スコア:0)
我らがスラッシュドットジャパンには全く影響のない話ですな。
Re: (スコア:0)
前回はガラケーガーとか言ってた人がいたけど、かんたんログインを使っている限りSSLは使えないし、(少なくともドコモの)TLS非対応端末はCookieにも非対応だし、ログインがないサイトならSSLで保護する必要もないから、そもそも関係ないはずなんだが。
もうかんたんログインを「安全に」使うためのバッドノウハウが失われつつあるってことなんだろうか。
Re: (スコア:0)
ん?暗号通信とログインはワンセットじゃないですよ
非会員の買い物とかでも
カード情報使うんで暗号通信は必須です
# カード番号と有効期限だけで使えるサイトとかあるのはご愛嬌(ですませんな)
Re: (スコア:0)
セッション情報なしで誰が何を買い物したかどうやって追跡するの?
# かんたんログイン(端末IDによる認証)は実際には「ログイン」ではないという指摘ならまったくそのとおりだ
脆弱性とかいうけどさ (スコア:0)
通信先のGopleとかヤッッホーとか漏らしまくりなんだから途中でも漏れるくらいどうでもいいだろ。
Re:脆弱性とかいうけどさ (スコア:1)
たとえ便所が垂れ流しでも便所に行く途中で漏らすのはどうかと思う
Re: (スコア:0)
駅のホームで口から汚物を垂れ流す人たちにぜひ言ってください。
Re: (スコア:0)
コアダンプはしかたない
実際に影響を受けるTLS実装も確認されている模様 (スコア:0)
どれだよ。
Re:実際に影響を受けるTLS実装も確認されている模様 (スコア:2, 参考になる)
リンク先に書いてあるよ。報告者が確認したのはF5とA10のネットワーク機器(パッチ済み)。
Re: (スコア:0)
具体的な実装の名前は定かではないが、AlexaのTOP 200,000サイトのうち実に10%が影響を受けるらしい
( https://www.trustworthyinternet.org/ssl-pulse/ [trustworthyinternet.org] の「POODLE TLS」)
Re:実際に影響を受けるTLS実装も確認されている模様 (スコア:1)
なんだ、TOP 200,000 サイトが影響受けるだけか。
じゃあうちは関係ないな(現実逃避)
Re: (スコア:0)
調査してない(影響を受けないとは言ってない)
Re:実際に影響を受けるTLS実装も確認されている模様 (スコア:1)
A10て結構採用されてるんだなぁ(違