質問

Advanced Search

Alert ID : ALERT2005

Last Modified : 10/11/2018

SSLv2.0 の脆弱性「DROWN」に関するリスク軽減策のご案内

INFORMATION

Description

2016年3月4日

お客様各位

合同会社シマンテック・ウェブサイトセキュリティ

 

SSLv2.0 の脆弱性「DROWN」に関するリスク軽減策のご案内

 

平素より弊社サービスに格別のご高配を賜り、厚く御礼申し上げます。

先日ウェブサーバにてSSLv2.0プロトコルが利用される場合等にエンドユーザの個人情報や機密情報に対する盗聴、漏えいにつながる脆弱性『Decrypting RSA with Obsolete and Weakened eNcryption(DROWN)』についての報告がなされましたので、影響範囲ならびに推奨されるアクションを下記の通りご案内申し上げます。
 
シマンテックでは、引続きサービスの向上に努めてまいりますので、今後ともご愛顧を賜りますよう、お願い申し上げます。


 

1.『DROWN』脆弱性の概要


『Decrypting RSA with Obsolete and Weakened eNcryption(DROWN)』 (CVE-2016-0800、以下、当脆弱性) は、ウェブサーバにてSSLv2.0プロトコルが利用可能な設定となっている場合、あるいはSSLv2.0プロトコルが利用可能なウェブサーバと同一の秘密鍵を他のメールサーバ等でも使用している場合、中間者攻撃によってエンドユーザの個人情報や機密情報を盗聴、漏えいさせることが可能になる脆弱性です。

The DROWN Attack(英語)
https://drownattack.com/


2. SSLサーバ証明書およびSSL関連製品への影響


当脆弱性はSSL/TLSプロトコルの脆弱性であり、既存のSSLサーバ証明書やコードサイニング証明書への影響はございません。証明書の再発行やウェブサーバへの入れ替えは必要ございません。


3.お客様のリスク軽減方法 (対応順)


3-1. お客様のウェブサーバでSSLサーバ証明書をご利用中の場合は、以下のサイトで対象のウェブサーバのドメイン名(FQDN)を入力いただくことで、お客様のウェブサーバでSSLv2.0プロトコルが有効となっているか否かを確認いただけます。

Symantec Crypto Reportについて
https://www.symantec.com/ja/jp/page.jsp?id=crypto-report

3-2.SSLv2.0をご利用の場合はSSLv2.0を利用できないよう設定変更すること、または利用する必要がある場合は脆弱性に対する修正パッチを適用いただくことをリスク軽減方法としてご検討ください。

現在までに本脆弱性に影響を受けるとされているサーバソフトウェアは以下のとおりです。

  • OpenSSL (注1)
  • Microsoft IIS (Windows Server)
  • Network Security Services (NSS)
  • Apache
  • Postfix
  • Nginx
     

注1 : OpenSSLをご利用のお客様は、以下のOpenSSLプロジェクトからのご案内をご参照の上、以下の最新のバージョンへアップグレードしていただくことを推奨いたします

  • 1.0.1s
  • 1.0.2g
     

OpenSSL Security Advisory [1st March 2016](英語)
https://www.openssl.org/blog/blog/2016/03/01/an-openssl-users-guide-to-drown/

ご利用の各ウェブサーバの機器やアプリケーションの設定方法等については機器やアプリケーションのベンダにご確認の上で対策を実施いただくことを推奨いたします。
 
※また、SSLv3.0 につきましても、脆弱性「POODLE」が発見されておりますため、SSLv2.0と併せてSSLv3.0 も無効とする設定を推奨いたします。

詳細については以下のナレッジベースを参照ください。

SSL3.0の脆弱性に関するリスク軽減策のご案内
id=AD969


4. その他関連情報


シマンテック : シマンテックセキュリティレスポンス
http://www.symantec.com/connect/ja/blogs/drown

JPCERT : OpenSSL の複数の脆弱性に関する注意喚起
https://www.jpcert.or.jp/at/2016/at160010.html

JVN : SSLv2 の暗号通信を解読可能な脆弱性 (DROWN 攻撃) (JVNVU#90617353)
http://jvn.jp/vu/JVNVU90617353/


5. 本件に関するお問合せ先


合同会社シマンテック・ウェブサイトセキュリティ テクニカルサポート
Email : server_info_jp@digicert.com
電話 : 03-5114-4135(音声ガイダンス後、2番を選択してください)
(平日9時30分~17時30分、ただし祝祭日および年末年始を除く)
                                                                 

以上