脆弱性への対応は意外と進まない?

先日また明らかになったOpenSSLの脆弱性(CVE-2014-0224、弊社ではもちろん直ぐに対処したのですが、
大手のWebサイトでも対策が遅れているところがあるらしいです。
中間者攻撃は難しいから、そうそうやられるわけがない』などとたかをくくっている……というわけではないと思うのですが。

OpenSSLの脆弱性、いまだに悪用可能なWebサイトが相当数存在 – ITmedia エンタープライズ

OpenSSLなんてサーバーだけのものかと思っていたら、意外とクライアント環境でも使われてるんですね。

  • Android の標準ブラウザ
  • OpenVPN などの VPN ソフトウェア
  • Linux のコマンドが Web クライアントになる場合( wget など)

特にAndroidブラウザで使っているのが怖いですね。普通にブラウザです。
そうとは露知らずにスマホでアクセスして、SSLだから大丈夫とクレカ情報を入力したら 盗聴されて悪用されちゃった、などということが起こりかねません。気をつけましょう。

ちなみに、サーバーがこの脆弱性を対策しているかどうか、確認する方法がいくつかあります。
そのうち1つ紹介しましょう。

Qualys SSL Labs – Projects / SSL Server Test

ニュースにある調査・報告をした Qualys 社のサイトで、ドメイン(FQDN)を入力するとSSL機能のチェックをしてくれます。
google.co.jp のような1ドメインで複数IPを持つ場合は、ちゃんと全IPをチェックします。
チェック完了後、以下のようなメッセージが出れば安心ということです。

Experimental: This server is not vulnerable to the OpenSSL CCS vulnerability (CVE-2014-0224).
(試験機能:このサーバーは CVE-2014-0224 脆弱性の影響を受けない)

こういうメッセージの場合もあるかも。

Experimental: This server is vulnerable to the OpenSSL CCS vulnerability (CVE-2014-0224), but probably not exploitable.
(試験機能:このサーバーは CVE-2014-0224 脆弱性がある古いバージョンだけど、サーバー側だから大丈夫だと思うよ)
※OpenSSL 0.9.8 と 1.0.0 にも脆弱性のあるバージョンが存在するが、サーバー用途で危険なのは 1.0.1 のみであるため。

なおハートブリードも検査してくれて、そちらのメッセージはこう出ます。

This server is not vulnerable to the Heartbleed attack.
(このサーバーはハートブリード脆弱性の影響を受けない)

スマホでのアクセスが心配なら、先にここでチェックしておくとよさそうです。


投稿者:

さみどり

さみどり

パラファミリーの技術担当です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です