パスワードを忘れた? アカウント作成
11958300 story
セキュリティ

TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 41

ストーリー by hylom
各社対応をリリース中 部門より
あるAnonymous Coward 曰く、

InriaとMicrosoft Researchの合同チームからなるmiTLSが、TLS/SSL実装に「FREAK」と呼ばれる新たな脆弱性を発見した(miTLSの告知サイトZDNet)。

SSLには米国がかつて行っていた暗号の輸出規制に対応するため、輸出暗号と呼ばれる弱い暗号が定義されている。FREAKはサーバーが輸出暗号をサポートしているとき、バグのあるクライアント実装に強制的に輸出暗号を使わせるというもの。

バグのあるクライアントには、現時点でOpenSSLの1.0.1kより古いバージョン、BoringSSLの2014 年11月10日以前のバージョン、LibreSSLの2.1.2より古いバージョン、サポートされているすべてのバージョンのSchannel(Windows標準のTLSスタック)、OpenTransport(OS Xのシステム標準のTLSスタック)、AndroidおよびOS X上のChrome 40以前などが確認されている。

サーバー側の対策は輸出暗号を無効にすることで、クライアント側の対策はバグが修正されたバージョンに更新すること、それまではRSA鍵交換を無効にすることが挙げられる。

この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • by Anonymous Coward on 2015年03月11日 16時26分 (#2775781)

    シマンテック SSL Toolbox
    https://ssltools.websecurity.symantec.com/checker/ [symantec.com]

    または、SSL Server Test(時間が掛かります)
    https://www.ssllabs.com/ssltest/ [ssllabs.com]

    もしくは、コマンドラインツールを使って検証
    (EXP から始まるものが含まれているかを確認すれば良い)
    https://github.com/jvehent/cipherscan [github.com]

    Webサーバーサイドでの対策は、opensslバージョンアップだけでなくて、
    SSLCipherSuite で EXPを無効化する必要があると認識しています。

    • by nim (10479) on 2015年03月11日 16時40分 (#2775791)

      >Webサーバーサイドでの対策は、opensslバージョンアップだけでなくて、
      >SSLCipherSuite で EXPを無効化する必要があると認識しています。

      むしろ、OpenSSL のアップデートは必要なくて、ただ CipherSuite に -EXP とか !EXP を足せばいいはず。

      親コメント
    • by Anonymous Coward

      >または、SSL Server Test(時間が掛かります)
      >https://www.ssllabs.com/ssltest/

      いままでA判定出てたしつよい暗号を使うよう SSLCipherSuite を定義しているから関係ないぜ、とおもってたが、
      再度やってみたら評価基準が変わったのか WEAK 判定が出た (A判定は変わらないが) ので
      既にやったことのある人も再度やってみるがよし。

      DHEまわりが 1024bit で WEAK 判定されたが Apache2.2 系ではなすすべ無し。つらい。
      Apache2.4.7 以降と nginx なら適宜設定すれば大丈夫らしい。
      DHEを切ると IE11 が繋がらなくなるようなので、これを切るわけにはいかないようだ。つらい。

      • 新しい脆弱性が発見されて,しかもそれは20年前から存在してた脆弱性なんだから
        判定がWEAKに変化して当然だと思います

        今回の脆弱性を発見した InriaとMicrosoft Researchの合同チームは
        最近精力的にTLS/SSLの見直しをおこなっていることで有名になっています

        例えば,網羅的にテストを行なう自動検証用ツールを作ったりしていて,論文も大量に出しています
        かなりの予算と人数を投入して作業しているようですし,検証手順も新しい切り口が多いので
        これからも次々と脆弱性が発見されるはずです

        ですからTLS/SSL周りは今後も定期的にチェックした方が良いと思います.

        親コメント
  • OpenTransport??? (スコア:2, 参考になる)

    by Anonymous Coward on 2015年03月11日 16時23分 (#2775776)

    OpenTransport(OS Xのシステム標準のTLSスタック)

    いや、もう10年ちかく前に [wikipedia.org] OSから削除されてる [wikipedia.org]APIのことを言われてもね……。

    # SecureTransportの間違いなのは知ってるのでAC

  • by wolf03 (39616) on 2015年03月11日 21時13分 (#2775937) 日記
    仲間由紀恵とか思い出す・・・・
    • by Anonymous Coward

      テンカワアキトやずっぽりお見通しのずっとずっと昔の話でしたっけ?

      • by Anonymous Coward

        Wikipediaだと
        1996年11月 トゥルー・ラブストーリー(主題歌、CM)
        1998年 8月 機動戦艦ナデシコ 劇場版(ラピス・ラズリ 役)
        2000年 7月 TRICKシリーズ(山田奈緒子 役)

        そんな離れてないというか、TRICKが結構昔というか・・・

    • by Anonymous Coward

      名曲ですね
      Rで主題歌が変わったのはがっかりでした

      # みさきまじかわいい

  • by Anonymous Coward on 2015年03月11日 16時03分 (#2775764)

    SSLをやめてHTTPを使おう

  • by Anonymous Coward on 2015年03月11日 16時08分 (#2775767)

    まるでWindowsとOS Xでは未対応のような書き方だが、どちらのOSでも最新のfixで対応済み。

    告知サイトの脆弱性情報:

    SecureTransport (CVE-2015-1067, CVE-2015-2235): versions before iOS 8.2, AppleTV 7.1, and OS X Security Update 2015-002 are vulnerable. Update your OS.
    SChannel (CVE-2015-1637): before KB3046049 is vulnerable. See the security bulletin. Update your OS.

    KB3046049は3/9に配賦されている。3/11のタレコミでこれでは、デマを流しているといわれても仕方ない。

  • 当時、米国外で SSL を使おうとしたら、当然、その「輸出グレード」の暗号しか選択肢が無かったわけで、その当時としては脆弱性でもなんでも無い。

    まぁ、輸出グレードの暗号が、強度的に十分かどうかは、当時から「このくらいの金額と時間をかければ解ける」みたいな話はあったけど、少なくとも、今、輸出グレードの暗号を解読するよりは、遥かに難しい状態だった事は確か。

    だから、あくまでも「今となっては強度が不十分な暗号を使わせてしまう事ができる」というのが問題なのであって、「20 年前からの脆弱性」というのはおかしい。

    • 違います。
      このバグは高強度の暗号が使えるはずのアメリカ内でも
      弱い暗号がつかわれてしまうというものです。

      --
      -- 風は東京に吹いているか
      親コメント
      • あっ、そうか。確かに米国内(および、輸出規制対象ではない国)においては、意図せずに暗号がダウングレードさせられる脆弱性になりますね。

        ところで、輸出グレードの暗号にダウングレードさせられる脆弱性が、90 年代の実装から存在していた、となると、OpenSSL ではなく SSLeay の時代までさかのぼることになりますね。Microsoft も IE3 とかの時代から引き継がれていたのかなぁ。

        逆に、Mozilla の NSS では問題が見つかってないとなると、その前身の Netscape の実装には問題が無かったのかなぁ。それとも、どこかで修正されていたりしたのかなぁ。

        親コメント
    • by Anonymous Coward on 2015年03月11日 21時36分 (#2775948)

      二つの問題の合わせ技で、

      ・攻撃者が被害者の使う暗号を変更できる
      ・脆弱な暗号が双方で利用可能である

      ということだと思います。攻撃を防ぐポイントが2箇所にありますし、2つの問題と言えるのでは。

      親コメント
    • by Anonymous Coward

      「世界中に脆弱性を作らせた米政府の責任を追及する!」とか言えばいいんでしょうか?
      というか、いまだに当時の輸出グレードの証明書使っているところがあったんかい。

    • by Anonymous Coward

      米国内で実装されたのSSLが国外向けに輸出グレード暗号スイートを出していたということではなくて?

      PGPのソースコードの書籍持ち出しが懐かしいな

  • by Anonymous Coward on 2015年03月11日 15時57分 (#2775758)

    > サポートされているすべてのバージョンのSchannel(Windows標準のTLSスタック)
    3月の更新でFREAK対応があったそうだけど、これはそれに含まれているのかな。

  • by Anonymous Coward on 2015年03月11日 17時56分 (#2775842)

    当時の仕様なのでは

    • by Anonymous Coward

      輸出暗号が存在すること自体は当時のみならず今でも仕様。
      クライアントが輸出暗号の使用をネゴシエーションしていないのに使わされるのは、当時も今もバグ。

    • by Anonymous Coward

      >バグのあるクライアント実装に強制的に輸出暗号を使わせるというもの。

      これが?

  • by Anonymous Coward on 2015年03月11日 19時43分 (#2775888)

    パッチリリース前にこれを公開したMicrosoft Researchの無責任さを非難しないの?

    • by Anonymous Coward

      > パッチリリース前にこれを公開したMicrosoft Researchの無責任さを非難しないの?

      せっかくの良い指摘が「これ」が何なのか書いてないから伝わってませんな

      勘違いでなければこんな感じかと思われます

      1:MSがパッチリリース前に手動で対策する手段として
        グループポリシエディタを使って書き換える方法を掲載

      2:Windows Updateでパッチ公開
        ※ただし1で手動訂正していた場合には設定を戻しておかないと
         再起動後にネット接続が正常にできなくなる場合がある
         ということをパッチリリースページに補足掲載

      3:自動アップデートが当たってネットに接続できなくなった方が阿鼻叫喚

    • by Anonymous Coward

      MS信者は置いとくとして
      少なくとも、MSはMS Researchをたたかないと
      つじつま合わないよね。

      あれだけ、Googleたたいたんだから
      まさか、自分の息のかかったところは
      パッチ公開前に脆弱性公表してもいいなんて言わないよね

  • by Anonymous Coward on 2015年03月19日 10時35分 (#2780548)

    いつもながらアメリカのせいで世界中が迷惑する。アメリカは統合失調症の精神異常者か誇大妄想、強迫観念が異常な精神疾患者らで組織された国家ですね。

    アメリカ製品にはいつも巨大な脆弱性がある。

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...