SSLv3脆弱性　POODLE Attackについて（お知らせ）

2014-10-29 新着情報

各種報道などで取り上げられておりますPOODLE(Padding Oracle On Downgraded Legacy Encryption) attackに対するSSLv3の脆弱性についてお知らせいたします。

本件はHEART BLEEDやCCS Injectionと違い、SSLv3というプロトコル仕様が持つ脆弱性であり、「修正パッチ」は存在しません。

「SSLv3を使わないようにする」が根本解決方法となります。

・脆弱性についての情報（情報処理推進機構：IPA）

・OpenSSL

今回の脆弱性は、SSLv3環境でCBCを用いた暗号スイートを使用した場合、暗号文の元となった平文の内容が特定される、というものです。

Centeミドルウエアとしては以下の対応を行います。

・Cente SSL（販売終了品）・・・

コード上にあるSSLv3を無効にする手段を開示します。

・Cente Compact SSLc・・・

コード上にあるSSLv3を無効にする手段を開示します。

・Cente Compact SSLd・・・

TLS_FALLBACK_SCSVオプション機能を追加し、バージョンアップを行います。

なお、今回のPOODLE attack問題より、CenteではTLSv1からSSLv3へ接続を変更する運用（フォールバック）は推奨致しません。

そのため、Cente Compact SSLcパッケージのTLS_FALLBACK_SCSVオプションの追加についても標準パッケージとしては行いません。

SSLv3を使用しない運用で回避願います。

ご理解の程、よろしくお願い致します。

詳細はお問い合わせ窓口からお問い合わせください。