公開日:2014/10/16 最終更新日:2015/11/26

JVNVU#98283300
SSLv3 プロトコルに暗号化データを解読される脆弱性(POODLE 攻撃)

概要

SSL v3 をサポートするプログラムは、中間者攻撃が可能な環境で、Padding Oracle On Downgraded Legacy Encryption (POODLE) 攻撃の影響を受ける可能性があります。

影響を受けるシステム

OpenSSL をはじめとする SSL v3 をサポートするソフトウェアが本脆弱性の影響を受ける可能性があります。

[2014年12月11日 - 追記]
TLS を実装している製品においても、本脆弱性の影響を受ける場合があることが公開されました。

詳細情報

SSL v3 プロトコルに対して、中間者攻撃により通信内容を解読する攻撃手法が報告されています。この攻撃手法は "POODLE" (Padding Oracle On Downgraded Legacy Encryption) と呼ばれています。

ウェブブラウザ等のプログラムの多くでは、上位のプロトコルで通信できない場合にプロトコルのバージョンをダウングレードして通信を行う機能 ("protocol downgrade dance") が実装されています。中間者攻撃(Man-In-the-Middle Attack) を通じて POODLE 攻撃を行う際には、この機能を悪用して SSL v3 による通信を行わせるように仕向けます。その後、SSL v3 でブロック暗号のCBCモードによる暗号化が行われている通信に対し、通信内容を解読します(パディングオラクル攻撃の一種)。現実的な攻撃シナリオとして、HTTP Cookie などの情報を取得する方法が挙げられています。

[2014年12月11日 - 追記]
TLS 通信において Padding Bytes の検証処理が行われていない実装の場合、本脆弱性の影響を受ける可能性があります。

想定される影響

中間者攻撃を行う第三者によって、暗号化された通信内容の一部を解読される可能性があります。

対策方法

SSL v3 を使用しない
サーバもしくはクライアント、あるいはその両方で SSL v3 を無効にすることで、POODLE 攻撃の影響を回避することができます。

TLS Fallback Signaling Cipher Suite Value (SCSV)
レガシーシステムとの互換性のために SSL v3 が有効にされている環境において、POODLE 攻撃等によりサーバ・クライアント間の TLS 通信において望ましくないプロトコルダウングレードが発生したことを検知する仕組みとして、Signaling Cipher Suite Value (SCSV) が提案されています。

この仕組みでは、クライアントがプロトコルダウングレードして TLS 通信のネゴシエーションを行う際 cipher list 中に特別な値 (TLS_FALLBACK_SCSV) を入れておくことで、サーバ側で望ましくないプロトコルダウングレードの発生を検知してエラーにすることを可能にします。

TLS_FALLBACK_SCSV のサポート状況は、ベンダーが提供する情報をご確認ください。

ベンダ情報

ベンダ ステータス ステータス
最終更新日
ベンダの告知ページ
アライドテレシス株式会社 該当製品あり 2014/12/03
ジェイティ エンジニアリング株式会社 該当製品無し 2014/10/22
ヤマハ株式会社 該当製品あり(調査中) 2014/11/26 ヤマハ株式会社 の告知ページ
日本電気株式会社 該当製品あり(調査中) 2015/11/25
株式会社アラタナ 該当製品あり 2014/10/17 株式会社アラタナ の告知ページ
株式会社インターネットイニシアティブ 該当製品あり 2014/10/22 株式会社インターネットイニシアティブ の告知ページ
株式会社バッファロー 該当製品あり(調査中) 2014/10/23 株式会社バッファロー の告知ページ

参考情報

  1. CERT/CC Vulnerability Note VU#577193
    POODLE vulnerability in SSL 3.0
  2. Google Security Advisory
    This POODLE Bites: Exploiting The SSL 3.0 Fallback
  3. IETF draft-ietf-tls-downgrade-scsv-00
    TLS Fallback Signaling Cipher Suite Value (SCSV) for Preventing Protocol Downgrade Attacks
  4. CIRCL TR-28
    The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other products, are vulnerable to a critical padding oracle attack - CVE-2014-3566
  5. Mozilla Wiki
    Security/Server Side TLS
  6. ImperialViolet
    The POODLE bites again

JPCERT/CCからの補足情報

JPCERT/CCによる脆弱性分析結果

2014.10.16における脆弱性分析結果(CVSS Base Metrics)

CVSSとは

評価尺度 評価値 説明
攻撃元区分(AV) ローカル (L) 隣接 (A) ネットワーク (N) ネットワーク経由でリモートから攻撃可能
攻撃条件の複雑さ(AC) 高 (H) 中 (M) 低 (L) 攻撃成立に何らかの条件が必要
攻撃前の認証要否(Au) 複数 (M) 単一 (S) 不要 (N) 認証は不要
機密性への影響(C) なし (N) 部分的 (P) 全面的 (C) 一部の情報が漏えいする
完全性への影響(I) なし (N) 部分的 (P) 全面的 (C) 情報の正確さや完全さは損なわれない
可用性への影響(A) なし (N) 部分的 (P) 全面的 (C) システムの使用は阻害されない

Base Score:4.3

謝辞

関連文書

JPCERT 緊急報告
JPCERT REPORT
CERT Advisory US-CERT Alert (TA14-290A)
SSL 3.0 Protocol Vulnerability and POODLE Attack
CPNI Advisory
TRnotes
CVE CVE-2014-3566
JVN iPedia

更新履歴

2014/10/17
ベンダ情報と参考情報を追加しました
2014/10/17
株式会社アラタナのベンダステータスが更新されました
2014/10/17
ベンダ情報の追加、対策方法の修正を行いました
2014/10/17
参考情報を修正しました
2014/10/20
ベンダ情報、参考情報および関連文書を追加しました
2014/10/20
ベンダ情報を追加しました。
2014/10/22
ジェイティ エンジニアリング株式会社のベンダステータスが更新されました
2014/10/22
株式会社インターネットイニシアティブのベンダステータスが更新されました
2014/10/23
株式会社バッファローのベンダステータスが更新されました
2014/10/28
日本電気株式会社のベンダステータスが更新されました
2014/11/27
ヤマハ株式会社のベンダステータスが更新されました
2014/12/03
アライドテレシス株式会社のベンダステータスが更新されました
2014/12/11
影響を受けるシステムおよび詳細情報に追記を行い、ベンダ情報および参考情報にリンクを追加しました。
2015/07/10
日本電気株式会社のベンダステータスが更新されました
2015/10/22
日本電気株式会社のベンダステータスが更新されました
2015/11/26
日本電気株式会社のベンダステータスが更新されました