クロスプロトコル攻撃が可能となるSSLv2の脆弱性「DROWN」

headless 曰く、　クロスプロトコル攻撃が可能となるSSLv2の脆弱性「DROWN （Decrypting RSA with Obsolete and Weakened eNcryption）」の詳細が公表された（The DROWN Attack、OpenSSL Blog、Red Hat Security Blog、JVNVU#90617353）。

　SSLv2の安全性が低いことは知られているが、多くのサーバーでSSLv2のサポートが有効になっている。TLSをサポートするサーバーとクライアントとの間では、SSLv2が有効になっていても実際の通信に使われることはないため、サーバーによるSSLv2のサポートはセキュリティーリスクとみなされていなかった。

　DROWNではサーバーとクライアントがTLSで通信していても、攻撃者はSSLv2接続でパディングオラクル攻撃を仕掛けて暗号を解読できる。サーバーがSSLv2を有効化している場合のほか、クライアントが接続しているサーバーでSSLv2を有効化していなくても、秘密鍵を共有する他のサーバーでSSLv2を有効化している場合にはDROWNの影響を受ける。たとえば、SSLv2がメールサーバーで有効になっていて、SSLv2を無効にしたWebサーバーと秘密鍵を共有している場合、メールサーバーにパディングオラクル攻撃を行い、Webサーバーでの暗号化された通信を解読できる。

　The DROWN Attackによると、HTTPSサーバー全体のうち17%がSSLv2を有効化しており、16%がSSLv2を有効にした他のサーバーと公開鍵を共有している。合計するとDROWNの影響を受けるHTTPSサーバーは全体の33%となり、上位100万ドメインでも25%に上るという。

　サーバー管理者はSSLv2を無効化することでDROWNに対処できる。ただし、SSLv2の無効化はサーバーソフトウェアによって複雑な処理が必要なこともある。OpenSSLの場合は、簡単な対処方法として最新版への更新が推奨されている。IISではバージョン7.0以降、NSSではバージョン3.13以降で、SSLv2がデフォルトで無効となっている。これらのソフトウェアを使用している場合でも、The DROWN Attackが提供している脆弱性チェックツールでの確認が推奨される。

　DROWNはサーバー側での対処が必要であり、クライアント側では特にできることはない。利用するWebサイトがDROWNの影響を受けるかどうか、上述の脆弱性チェックツールで確認しておくといいだろう。The DROWN AttackではAlexaトップ10,000サイトで脆弱性のあるドメインをリストアップしているが、リストには日本のWebサイトも多数含まれている。

　スラドのコメントを読む | セキュリティセクション | セキュリティ | バグ | 暗号

　関連ストーリー：
SSL 3.0の廃止を求めるRFC 7568がリリースされる 2015年06月30日
クレジットカード処理におけるTLS 1.0の使用が非推奨に 2015年06月01日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日