脆弱性への対応は意外と進まない?

先日また明らかになったOpenSSLの脆弱性(CVE-2014-0224、弊社ではもちろん直ぐに対処したのですが、

大手のWebサイトでも対策が遅れているところがあるらしいです。

中間者攻撃は難しいから、そうそうやられるわけがない』などとたかをくくっている……というわけではないと思うのですが。



OpenSSLの脆弱性、いまだに悪用可能なWebサイトが相当数存在 – ITmedia エンタープライズ

OpenSSLなんてサーバーだけのものかと思っていたら、意外とクライアント環境でも使われてるんですね。

  • Android の標準ブラウザ
  • OpenVPN などの VPN ソフトウェア
  • Linux のコマンドが Web クライアントになる場合( wget など)

特にAndroidブラウザで使っているのが怖いですね。普通にブラウザです。

そうとは露知らずにスマホでアクセスして、SSLだから大丈夫とクレカ情報を入力したら
盗聴されて悪用されちゃった、などということが起こりかねません。気をつけましょう。

ちなみに、サーバーがこの脆弱性を対策しているかどうか、確認する方法がいくつかあります。

そのうち1つ紹介しましょう。



Qualys SSL Labs – Projects / SSL Server Test



ニュースにある調査・報告をした Qualys 社のサイトで、ドメイン(FQDN)を入力するとSSL機能のチェックをしてくれます。

google.co.jp のような1ドメインで複数IPを持つ場合は、ちゃんと全IPをチェックします。

チェック完了後、以下のようなメッセージが出れば安心ということです。



Experimental: This server is not vulnerable to the OpenSSL CCS vulnerability (CVE-2014-0224).

(試験機能:このサーバーは CVE-2014-0224 脆弱性の影響を受けない)



こういうメッセージの場合もあるかも。



Experimental: This server is vulnerable to the OpenSSL CCS vulnerability (CVE-2014-0224), but probably not exploitable.

(試験機能:このサーバーは CVE-2014-0224 脆弱性がある古いバージョンだけど、サーバー側だから大丈夫だと思うよ)

※OpenSSL 0.9.8 と 1.0.0 にも脆弱性のあるバージョンが存在するが、サーバー用途で危険なのは 1.0.1 のみであるため。



なおハートブリードも検査してくれて、そちらのメッセージはこう出ます。



This server is not vulnerable to the Heartbleed attack.

(このサーバーはハートブリード脆弱性の影響を受けない)



スマホでのアクセスが心配なら、先にここでチェックしておくとよさそうです。

投稿者:

さみどり

パラファミリーの技術担当です。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です