IBM Support

【重要情報】 SSL 3.0の脆弱性に対するIBM HTTP Serverへの影響について (CVE-2014-3566)

フラッシュ(Alerts)


概要

SSL 3.0 (SSLv3) には、プロトコル設計自体に通称POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる脆弱性が存在することが報告されました。IBM HTTP Serverでは、デフォルトでSSLv3が有効になっております。弊社としましては、SSLv3を無効化することをお勧めいたします。

本文

IBM HTTP Server でSSL 3.0 (SSLv3) を有効にしていると、通称POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれるSSLv3プロトコル設計自体の脆弱性が存在します。SSLv3 を有効にしていると、悪意のあるユーザーによる中間者攻撃 (man-in-the-middle attack) により、暗号化されたデータの内容が盗聴される危険性があります。

最新の情報については、下記URLの文書(英語)もご参照ください。
Security Bulletin: Vulnerability in SSLv3 affects IBM HTTP Server (CVE-2014-3566)
http://www.ibm.com/support/docview.wss?uid=swg21687172

【対象ソフトウェア】
対象OS:
- 分散系プラットフォーム (AIX、Linux、Windows、Solaris、HP-UX)、IBM i、z/OS

対象バージョン:
- IBM HTTP Server (IHS) 全てのバージョン

【対応策】
APAR PI27904 を含むFix Packもしくは個別修正モジュール PI31516 (※1)を適用します。これにより、デフォルトでSSLv3は無効になります。また、IHS V7.0 でSSLProtocolEnable ディレクティブが利用可能となります。

※1 個別修正モジュール PI31516は、APAR PI27904を含みます。APAR PI27904のみの個別修正モジュールは存在しません。

バージョン 対応策
V8.5.0.0~V8.5.5.4
  • Fix Pack 8.5.5.2 以降を適用した後、個別修正モジュールAPAR PI31516 を適用します。
--または--
  • Fix Pack 8.5.5.5 以降を適用します。
V8.0.0.0~V8.0.0.10
  • Fix Pack 8.0.0.9 以降を適用した後、個別修正モジュールAPAR PI31516 を適用します。
--または--
  • Fix Pack 8.0.0.11 以降を適用します。
V7.0.0.0~V7.0.0.35
  • Fix Pack 7.0.0.33 以降を適用した後、個別修正モジュールAPAR PI31516 を適用します。
--または--
  • Fix Pack 7.0.0.37 以降を適用します。


【回避策】
全てのバージョンのIHS で、SSLv3を無効化することをお勧めいたします。

※SSLv2は、暗号強度が弱いため安全ではなく、使用は推奨されておりません。SSLv2についても無効化することをお勧めします。

SSLv2およびSSLv3を無効化するには、下記のように、IHSの設定ファイルhttpd.conf 内のSSLを利用している(SSLEnable)仮想ホストにおいて、SSLProtocolDisable ディレクティブを使用します。

例)
<VirtualHost *:443>
SSLEnable
SSLProtocolDisable SSLv2 SSLv3
 (その他のディレクティブ)
</VirtualHost>

設定を有効にするには、IHSを再起動する必要があります。

KnowledgeCenter - SSL ディレクティブ

(注意点)
  • もし、IHSを-fオプションを使用し特定の構成ファイルで起動させている場合や、Includeディレクティブで別の構成ファイルを読み込んでいる場合は、それらの構成ファイル内でSSLを有効化(SSLEnable)しているかの確認も実施してください。
  • もし、VirtualHost 内ではなくグローバル・スコープでSSLを有効化(SSLEnable)している場合、SSLProtocolDisableディレクティブを使用するため、SSLEnableディレクティブをVirtualHost 内に移動させる必要があります。


    【補足情報】
    Assessing this vulnerability using the Common Vulnerability Scoring System (CVSS、共通脆弱性評価システム):
    CVSS Base Score (基本値): 4.3
    CVSS Temporal Score (現状値): https://exchange.xforce.ibmcloud.com/vulnerabilities/97013 にて現在の値をご確認ください
    CVSS Environmental Score (環境値): Undefined (未評価)*
    CVSS String: AV:N/AC:M/Au:N/C:P/I:N/A:N (基本評価基準)

    *The CVSS Environment Score is customer environment specific and will ultimately impact the Overall CVSS Score. Customers can evaluate the impact of this vulnerability in their environments by accessing the links in the Reference section of this Flash.

    Note: According to the Forum of Incident Response and Security Teams (FIRST), the Common Vulnerability Scoring System (CVSS) is an "industry open standard designed to convey vulnerability severity and help to determine urgency and priority of response." IBM PROVIDES THE CVSS SCORES "AS IS" WITHOUT WARRANTY OF ANY KIND, INCLUDING THE IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE. CUSTOMERS ARE RESPONSIBLE FOR ASSESSING THE IMPACT OF ANY ACTUAL OR POTENTIAL SECURITY VULNERABILITY.

    References:
    Complete CVSS Guide
    ソフトウェア等におけるセキュリティ上の弱点の深刻度評価の試行について
    共通脆弱性評価システム CVSS 概説
    HTTPS advisor fails when SSLv3 is disabled on backend servers
    TLS Padding vulnerability CVE-2014-8730


    CVSS Caluculator:
    (英語) Online Calculator V2
    (日本語) Online Calculator V2

    【お問合せ先】
    技術的な内容に関して、サービス契約のもとIBMサービス・ラインにお問い合わせください。

    IBMサービス・ライン

    【参考情報】
    IBM Secure Engineering Web Portal
    IBM Product Security Incident Response Blog

    【変更履歴】
    2014/10/16 初版発行
    2015/11/26 対応策として、APAR PI27904 及び PI31516 の情報を追記。これまでの対応策を回避策へ変更。注意点を追記。
  • Document information

    More support for: IBM HTTP Server
    SSL

    Software version: 6.1, 7.0, 8.0, 8.5, 8.5.5

    Operating system(s): AIX, HP-UX, IBM i, Linux, Solaris, Windows, z/OS

    Software edition: All Editions

    Reference #: 1687238

    Modified date: 16 October 2014


    Translate this page: