先日、知人から、「運用しているFreeBSDサーバーのSSL通信 v2とv3 の脆弱性について、対策状況を知りたい」と連絡がありました。
暗号通信に使われているOpenSSLは、ネットワークには必須のアプリケーションで、しばしば脆弱性が見つかるのですが、私はJPCERT CCのメールニュースに登録して脆弱性が見つかった場合は早めに知ることが出来るようにしています。質問を受けたものの、最近OpenSSLの脆弱性情報って見た記憶がありません。知人のメールをよく読んでみると、どうも組織の上の方から、SSLv2, SSLv3は脆弱性があるので、使用をやめてTLSに切り替えろという指示の一部だと判明しました。責任逃れのために発行した指示のようです。
このあとは、検索に頼ることに。
「SSLv2 脆弱性」で調べてみると http://blog.trendmicro.co.jp/archives/12950 というページが見つかりました。このページはわかりやすい。DROWN と名付けられた脆弱性で「CVE-2016-0800」という通し番号が付いていました。
続いて「SSLv3 脆弱性」で調べてみると、今度はIPAの情報が役に立ちました。https://www.ipa.go.jp/security/announce/20141017-ssl.html こちらも CVE-2014-3566 という番号が付いていました。SSLv2 DROWNが2016年で、SSLv3が2014年と、別々のインシデントではないですか。最初からCVE番号を示して指示を出せばいいのに、この情報にたどり着くまで相当時間を費やしてしまいました。番号がわかれば、現状を知るのは簡単。
どちらも、Man in the Middle を仕掛ける必要がある脆弱性なので、経路のルーターにハッキングをしかける必要があり、あまり心配する必要のないインシデントのようです。二つは別の脆弱性のようです。
FreeBSDサイトのSecurity Information から以下の情報にたどり着けました。
https://www.freebsd.org/security/advisories/FreeBSD-SA-14:23.openssl.asc https://www.freebsd.org/security/advisories/FreeBSD-SA-16:12.openssl.asc
運用中のFreeBSD10.3では対策済みの脆弱性でした。この脆弱性に関しての穴はないようです。
上からの指示のSSLv2, SSLv3 の使用を止めて、TLSに切り替えろ・・・・という部分は未確認ですが、とりあえず穴は空いていなさそう。SSLv2, v3 を使わないようにする設定に関してはまだ調べていません。
FreeBSDの場合、freebsd-update コマンドと、pkg コマンドを定期的に発行しておけば、OSとportsからインストールされたパッケージの脆弱性は、自然に塞がれるので管理がとっても楽です。今回も、OSで対策済みと回答しておきました。
注意すべき点は、メンテナンスサイクルが切れると見放されるので、脆弱性対策を freebsd.org に頼りたい場合はサポートバージョンを使う必要があります。