セキュリティ : Cisco E メール セキュリティ アプライアンス

ESA 上の SSL バージョン 3.0 脆弱性 CVE-2014-3566

2015 年 11 月 26 日 - 機械翻訳について
その他のバージョン: PDFpdf | 英語版 (2015 年 8 月 22 日) | フィードバック

概要

このドキュメントでは、Cisco E メール セキュリティ アプライアンス(ESA)での Padding Oracle On Downgraded Legacy Encryption(POODLE)攻撃について説明します。

著者:Cisco TAC エンジニア、Enrico Werner

問題

セキュア ソケット レイヤ(SSL)のバージョン 3.0(RFC-6101)は古く、安全でないプロトコルです。 ほとんどの実用的 な 目的で、それはサクセサと- Transport Layer Security (TLS)バージョン 1.0 (RFC-2246)、TLS バージョン 1.1 (RFC-4346)、および TLS バージョン 1.2 (RFC-5246) -多くの TLS 実装逆方向に残ります取替えられます間、か。SSL バージョン 3.0 と互換性があるスムーズなユーザ エクスペリエンスのためにレガシーシステムによって相互運用するため。 プロトコル ハンドシェイクは認証済みバージョンのネゴシエーションを提供します。そのため、通常、クライアントとサーバに共通の最新プロトコル バージョンが使用されます。 ただし、クライアント および サーバが両方 TLS のバージョンをサポートしても、SSL バージョン 3.0 によって提供されるセキュリティレベルはサーバを回避するために多くのクライアントがプロトコル ダウングレード ダンスを設定するのでまだ関連していますか。側面インターオペラビリティ バグ。

攻撃者はダウングレード ダンスを悪用して、SSL バージョン 3.0 の暗号化セキュリティを壊す可能性があります。 たとえば、POODLE の攻撃によってセキュアな HTTP クッキー(または HTTP 認証ヘッダーのコンテンツなどその他のベアラー トークン)を盗用することができます。

この脆弱性には、Common Vulnerabilities and Exposures(CVE)ID として、CVE-2014-3566 が割り当てられています。

解決策

関連するバグの一覧を示します。

  • Cisco Bug ID CSCur27131 - ESA での SSL バージョン 3.0 POODLE の攻撃(CVE-2014-3566)

  • Cisco Bug ID CSCur27153 - シスコのセキュリティ管理アプライアンスでの SSL バージョン 3.0 POODLE の攻撃(CVE-2014-3566)

  • Cisco Bug ID CSCur27189 - シスコの Web セキュリティ アプライアンスでの SSL バージョン 3.0 POODLE の攻撃(CVE-2014-3566)

  • Cisco Bug ID CSCur27340 - シスコの IronPort 暗号化アプライアンスでの SSL バージョン 3.0 POODLE の攻撃(CVE-2014-3566)

非連邦情報処理標準(FIPS)モードでは、SSL バージョン 3.0 はデフォルト設定で有効になっています。 FIPS モードでは、SSL バージョン 3.0 はデフォルトで無効になっています。 FIPS モードが有効であるかどうかを確認するには、次を入力します。

CLI> fipsconfig

FIPS mode is currently disabled.

FIPS モードが無効である場合、SSL バージョン 3.0 が sslconfig 設定で有効になっているかどうかを確認します。 メソッドとして sslv3 がリストされている場合、SSL バージョン 3.0 が有効になります。 これを TLS バージョン 1 に変更して、SSL バージョン 3.0 を無効にします。

CLI> sslconfig
sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: <cipher list>
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: <cipher list>
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: <cipher list>
example.com> sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> GUI

Enter the GUI HTTPS ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the GUI HTTPS ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> INBOUND

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND

Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]>

example.com> commit

Please enter some comments describing your changes:
[]> remove SSLv3 from the GUI HTTPS method/Inbound SMTP method/Outbound SMTP method

Do you want to save the current configuration for rollback? [Y]>

Changes committed: Thu Oct 16 07:41:10 2014 GMT

関連情報


関連するシスコ サポート コミュニティ ディスカッション

シスコ サポート コミュニティは、どなたでも投稿や回答ができる情報交換スペースです。


Document ID: 118620