TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 41
ストーリー by hylom
各社対応をリリース中 部門より
各社対応をリリース中 部門より
あるAnonymous Coward 曰く、
InriaとMicrosoft Researchの合同チームからなるmiTLSが、TLS/SSL実装に「FREAK」と呼ばれる新たな脆弱性を発見した(miTLSの告知サイト、ZDNet)。
SSLには米国がかつて行っていた暗号の輸出規制に対応するため、輸出暗号と呼ばれる弱い暗号が定義されている。FREAKはサーバーが輸出暗号をサポートしているとき、バグのあるクライアント実装に強制的に輸出暗号を使わせるというもの。
バグのあるクライアントには、現時点でOpenSSLの1.0.1kより古いバージョン、BoringSSLの2014 年11月10日以前のバージョン、LibreSSLの2.1.2より古いバージョン、サポートされているすべてのバージョンのSchannel(Windows標準のTLSスタック)、OpenTransport(OS Xのシステム標準のTLSスタック)、AndroidおよびOS X上のChrome 40以前などが確認されている。
サーバー側の対策は輸出暗号を無効にすることで、クライアント側の対策はバグが修正されたバージョンに更新すること、それまではRSA鍵交換を無効にすることが挙げられる。
FREAK脆弱性チェック方法 (スコア:4, 参考になる)
シマンテック SSL Toolbox
https://ssltools.websecurity.symantec.com/checker/ [symantec.com]
または、SSL Server Test(時間が掛かります)
https://www.ssllabs.com/ssltest/ [ssllabs.com]
もしくは、コマンドラインツールを使って検証
(EXP から始まるものが含まれているかを確認すれば良い)
https://github.com/jvehent/cipherscan [github.com]
Webサーバーサイドでの対策は、opensslバージョンアップだけでなくて、
SSLCipherSuite で EXPを無効化する必要があると認識しています。
Re:FREAK脆弱性チェック方法 (スコア:3, 参考になる)
>Webサーバーサイドでの対策は、opensslバージョンアップだけでなくて、
>SSLCipherSuite で EXPを無効化する必要があると認識しています。
むしろ、OpenSSL のアップデートは必要なくて、ただ CipherSuite に -EXP とか !EXP を足せばいいはず。
Re: (スコア:0)
>または、SSL Server Test(時間が掛かります)
>https://www.ssllabs.com/ssltest/
いままでA判定出てたしつよい暗号を使うよう SSLCipherSuite を定義しているから関係ないぜ、とおもってたが、
再度やってみたら評価基準が変わったのか WEAK 判定が出た (A判定は変わらないが) ので
既にやったことのある人も再度やってみるがよし。
DHEまわりが 1024bit で WEAK 判定されたが Apache2.2 系ではなすすべ無し。つらい。
Apache2.4.7 以降と nginx なら適宜設定すれば大丈夫らしい。
DHEを切ると IE11 が繋がらなくなるようなので、これを切るわけにはいかないようだ。つらい。
Re:FREAK脆弱性チェック方法 (スコア:1)
新しい脆弱性が発見されて,しかもそれは20年前から存在してた脆弱性なんだから
判定がWEAKに変化して当然だと思います
今回の脆弱性を発見した InriaとMicrosoft Researchの合同チームは
最近精力的にTLS/SSLの見直しをおこなっていることで有名になっています
例えば,網羅的にテストを行なう自動検証用ツールを作ったりしていて,論文も大量に出しています
かなりの予算と人数を投入して作業しているようですし,検証手順も新しい切り口が多いので
これからも次々と脆弱性が発見されるはずです
ですからTLS/SSL周りは今後も定期的にチェックした方が良いと思います.
OpenTransport??? (スコア:2, 参考になる)
OpenTransport(OS Xのシステム標準のTLSスタック)
いや、もう10年ちかく前に [wikipedia.org] OSから削除されてる [wikipedia.org]APIのことを言われてもね……。
# SecureTransportの間違いなのは知ってるのでAC
TLSと聞くと (スコア:2)
Re: (スコア:0)
テンカワアキトやずっぽりお見通しのずっとずっと昔の話でしたっけ?
Re: (スコア:0)
Wikipediaだと
1996年11月 トゥルー・ラブストーリー(主題歌、CM)
1998年 8月 機動戦艦ナデシコ 劇場版(ラピス・ラズリ 役)
2000年 7月 TRICKシリーズ(山田奈緒子 役)
そんな離れてないというか、TRICKが結構昔というか・・・
Re: (スコア:0)
名曲ですね
Rで主題歌が変わったのはがっかりでした
# みさきまじかわいい
もううんざり (スコア:1)
SSLをやめてHTTPを使おう
Re: (スコア:0)
サイバー・ノーガード戦法 [wikipedia.org]ですね、分かります。
WindowsとOS X (スコア:1)
まるでWindowsとOS Xでは未対応のような書き方だが、どちらのOSでも最新のfixで対応済み。
告知サイトの脆弱性情報:
SecureTransport (CVE-2015-1067, CVE-2015-2235): versions before iOS 8.2, AppleTV 7.1, and OS X Security Update 2015-002 are vulnerable. Update your OS.
SChannel (CVE-2015-1637): before KB3046049 is vulnerable. See the security bulletin. Update your OS.
KB3046049は3/9に配賦されている。3/11のタレコミでこれでは、デマを流しているといわれても仕方ない。
編集のお仕事 (スコア:1)
タレコミは 3/9 で,しかも「現時点」ではなく「タレコミ時点で」となっているね。
Re: (スコア:0)
追記or修正よろ>編集方々
20年前には脆弱性では無かった (スコア:1)
当時、米国外で SSL を使おうとしたら、当然、その「輸出グレード」の暗号しか選択肢が無かったわけで、その当時としては脆弱性でもなんでも無い。
まぁ、輸出グレードの暗号が、強度的に十分かどうかは、当時から「このくらいの金額と時間をかければ解ける」みたいな話はあったけど、少なくとも、今、輸出グレードの暗号を解読するよりは、遥かに難しい状態だった事は確か。
だから、あくまでも「今となっては強度が不十分な暗号を使わせてしまう事ができる」というのが問題なのであって、「20 年前からの脆弱性」というのはおかしい。
Re:20年前には脆弱性では無かった (スコア:1)
違います。
このバグは高強度の暗号が使えるはずのアメリカ内でも
弱い暗号がつかわれてしまうというものです。
-- 風は東京に吹いているか
Re:20年前には脆弱性では無かった (スコア:1)
あっ、そうか。確かに米国内(および、輸出規制対象ではない国)においては、意図せずに暗号がダウングレードさせられる脆弱性になりますね。
ところで、輸出グレードの暗号にダウングレードさせられる脆弱性が、90 年代の実装から存在していた、となると、OpenSSL ではなく SSLeay の時代までさかのぼることになりますね。Microsoft も IE3 とかの時代から引き継がれていたのかなぁ。
逆に、Mozilla の NSS では問題が見つかってないとなると、その前身の Netscape の実装には問題が無かったのかなぁ。それとも、どこかで修正されていたりしたのかなぁ。
Re:20年前には脆弱性では無かった (スコア:1)
二つの問題の合わせ技で、
・攻撃者が被害者の使う暗号を変更できる
・脆弱な暗号が双方で利用可能である
ということだと思います。攻撃を防ぐポイントが2箇所にありますし、2つの問題と言えるのでは。
Re: (スコア:0)
「世界中に脆弱性を作らせた米政府の責任を追及する!」とか言えばいいんでしょうか?
というか、いまだに当時の輸出グレードの証明書使っているところがあったんかい。
Re: (スコア:0)
米国内で実装されたのSSLが国外向けに輸出グレード暗号スイートを出していたということではなくて?
PGPのソースコードの書籍持ち出しが懐かしいな
Windows標準のTLSスタック (スコア:0)
> サポートされているすべてのバージョンのSchannel(Windows標準のTLSスタック)
3月の更新でFREAK対応があったそうだけど、これはそれに含まれているのかな。
Re:Windows標準のTLSスタック (スコア:1)
タレコミ時点(3/9)では影響あったけど、今回のMS15-031 (KB3046049)でServer2003およびVista以降では修正済み
https://technet.microsoft.com/library/security/MS15-031 [microsoft.com]
XPの死亡理由がまた一つ増えた
バグじゃないような (スコア:0)
当時の仕様なのでは
Re: (スコア:0)
輸出暗号が存在すること自体は当時のみならず今でも仕様。
クライアントが輸出暗号の使用をネゴシエーションしていないのに使わされるのは、当時も今もバグ。
Re: (スコア:0)
>バグのあるクライアント実装に強制的に輸出暗号を使わせるというもの。
これが?
Re: (スコア:0)
要請した物と違う種類の暗号が返ってきてるのにそれをそのまま利用するってのはバグじゃないですかね?
Re: (スコア:0)
SSLCipherSuite でつよい暗号を定義した上で、
Apache なら SSLHonorCipherOrder を On にするんだ。
http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslhonorcipherorder [apache.org]
nginx なら ssl_prefer_server_ciphers を on だ。
http://nginx.org/en/docs/http/ngx_http_ssl_module.htm [nginx.org]
Microsoftは (スコア:0)
パッチリリース前にこれを公開したMicrosoft Researchの無責任さを非難しないの?
Re: (スコア:0)
> パッチリリース前にこれを公開したMicrosoft Researchの無責任さを非難しないの?
せっかくの良い指摘が「これ」が何なのか書いてないから伝わってませんな
勘違いでなければこんな感じかと思われます
1:MSがパッチリリース前に手動で対策する手段として
グループポリシエディタを使って書き換える方法を掲載
2:Windows Updateでパッチ公開
※ただし1で手動訂正していた場合には設定を戻しておかないと
再起動後にネット接続が正常にできなくなる場合がある
ということをパッチリリースページに補足掲載
3:自動アップデートが当たってネットに接続できなくなった方が阿鼻叫喚
Re: (スコア:0)
MS信者は置いとくとして
少なくとも、MSはMS Researchをたたかないと
つじつま合わないよね。
あれだけ、Googleたたいたんだから
まさか、自分の息のかかったところは
パッチ公開前に脆弱性公表してもいいなんて言わないよね
Re: (スコア:0)
Gは対応策ないまま公開、今回はある状態で公開。
違うよね?
Re: (スコア:0)
その対応策とやらは、一般人のどのくらいの人がやったの?
ここ読んで出直してきたら?
http://blogs.technet.com/b/jpsecurity/archive/2010/07/28/3347185.aspx [technet.com]
Re: (スコア:0)
http://security.srad.jp/story/15/03/11/063226/ [srad.jp]
この話だっけ。
Re: (スコア:0)
http://security.srad.jp/story/15/01/18/013207/ [srad.jp]
すまない、貼り間違えた。
Re: (スコア:0)
マイナスモデ付けるぐらいならまともな反論書いてくださいよ
それができないから信者扱いされるんです。
Re:Microsoftは (スコア:2)
マイナスモデを付けた人は反論できないんですよ(そのストーリに付けた全モデレートがキャンセルされる)。
どのモデレートのことについていっているのか知りませんけど。
Re: (スコア:0)
フレームのもとにマイナスモデが付く現実と、
あなたに見える敵に、マイナスモデを付ける理由を与えている事実を理解しなさい。
Re: (スコア:0)
なんで自分の物差しで他人を測ろうとするんでしょうかね?
私はもっとうまいやり方があるんじゃないかと言いたいだけなんですよ
馬鹿なアメリカ (スコア:0)
いつもながらアメリカのせいで世界中が迷惑する。アメリカは統合失調症の精神異常者か誇大妄想、強迫観念が異常な精神疾患者らで組織された国家ですね。
アメリカ製品にはいつも巨大な脆弱性がある。