マイクロソフト https://technet.microsoft.com/ja-jp/library/security/3009008
> マイクロソフト セキュリティ アドバイザリ 3009008
> SSL 3.0 の脆弱性により、情報漏えいが起こる
Microsoft https://technet.microsoft.com/en-us/library/security/3009008.aspx
> Microsoft Security Advisory 3009008
> Vulnerability in SSL 3.0 Could Allow Information Disclosure
マイクロソフト http://blogs.technet.com/b/jpsecurity/archive/2014/10/15/3009008-ssl3.aspx
> セキュリティ アドバイザリ 3009008「SSL 3.0 の脆弱性により、情報漏えいが起こる」を公開 -
> 日本のセキュリティチーム - Site Home - TechNet Blogs
対策は、TLS 1.0 〜 1.2 を有効にする & SSL 3.0 を無効にする、です。
しかし、見られなくなるサイトが出るでしょう。
(関連)
マイクロソフト https://technet.microsoft.com/ja-jp/library/security/2977292
> マイクロソフト セキュリティ アドバイザリ 2977292
> TLS の使用を可能にする Microsoft EAP 実装用の更新プログラム
・・・
Mozilla Foundation https://blog.mozilla.org/security/2014/10/14/the-poodle-attack-and-the-end-of-ssl-3-0/
> The POODLE Attack and the End of SSL 3.0 | Mozilla Security Blog
※ about:config で security.ssl3 を探すと、CBC なパラメーターは無い模様。 block も無し。
Oracle https://blogs.oracle.com/security/entry/information_about_ssl_poodle_vulnerability
> Information about SSL “Poodle” vulnerability CVE-2014-3566
> (The Oracle Software Security Assurance Blog)
SANS Internet Storm Center https://isc.sans.edu/diary/POODLE%3A+Turning+off+SSLv3+for+various+servers+and+client.++/18837
> InfoSec Handlers Diary Blog - POODLE: Turning off SSLv3 for various servers and client.
インプレス INTERNET Watch http://internet.watch.impress.co.jp/docs/news/20141015_671482.html
> Google、SSL 3.0の脆弱性「POODLE」を公表、SSL 3.0は今後サポート廃止の意向 -INTERNET Watch
・・・
http://d.hatena.ne.jp/TsuSUZUKI/20131218/1387318057
※ SSL の暗号強度 2013
いじょうです。
-
- -