CVE-2016-0800:SSLv2 の脆弱性

Created:

2016-11-16 13:00:46 UTC

Modified:

2017-08-16 15:56:47 UTC

0

Was this article helpful?


Have more questions?

リクエストを送信

CVE-2016-0800:SSLv2 の脆弱性

Applicable to:

  • Plesk for Linux
  • Plesk 12.5 for Windows

状況

2016 年 3 月 1 日、OpenSSL グループから脆弱性アラートが発信されました。当該脆弱性 CVE-2016-0800 について詳しくは、Open SSL のウェブサイトにてご確認ください。

この脆弱性は「DROWN」という名称で知られています(CVE-2016-0800)。

影響

SSLv2 と EXPORT 暗号スイートをサポートするサーバを Bleichenbacher RSA パディングオラクルとして利用することにより TLS セッションの解読が可能となるクロスプロトコル攻撃が特定されました。脆弱ではないサーバとクライアントの間のトラフィックも、脆弱ではないサーバが SSLv2 と EXPORT 暗号をサポートする別のサーバと共通の RSA キーを使用している場合には(SMTP、IMAP、POP などプロトコルが異なる場合でも)、解読が可能になります。

パッチを適用していない 1.0.2a、1.0.1m、1.0.0r、0.9.8zf バージョンの OpenSSL サーバについては、より効率的な DROWN 攻撃の亜種が存在します。

Plesk 12.5 以降では、qmail と自動インストーラを除き、Plesk で管理されるすべてのサービスが SSLv2(および SSLv3)を使用しないようにデフォルトで構成されています。

緩和策に関する情報:

  • RSA 以外の鍵交換(DH:Diffie-Hellman や ECDH:Elliptic Curve Diffie-Hellman)を使用する SSL/TLS 接続は DROWN 攻撃で解読できません。

  • 最新型の SSL/TLS クライアントは ECDH と DH をサポートしています。qmail と自動インストーラを除き、Plesk で管理されるすべてのサービスは、デフォルトで ECDH と DH を優先するように構成されています。

詳細は以下のリンク先をご覧ください。

対策のお願い

対応するアップデートが OS ベンダーから提供されています。標準の手順に従って OS を更新してください。

RedHat/CentOS

Debian

Ubuntu

Plesk ではセキュリティ対策に真剣に取り組んでおります。お客様におかれましても、推奨されるアクションの早急な実施をお願いいたします。

他にご質問がございましたら、リクエストを送信してください
ログインしてコメントを残してください。