ESA 上の SSL バージョン 3.0 脆弱性 CVE-2014-3566

ダウンロード オプション

  • PDF     (195.0 KB)
    Adobe Reader を使ってさまざまなデバイスで表示
  • ePub     (74.8 KB)
    iPhone、iPad、Android、ソニーの Reader、または Windows Phone 上で、さまざまなアプリを使って表示
  • Mobi (Kindle)     (67.0 KB)
    Kindle デバイスで、または Kindle アプリを使って複数のデバイスで表示
Updated: 2014 年 11 月 24 日
Document ID:118620

偏向のない言語

この製品のマニュアルセットは、偏向のない言語を使用するように配慮されています。このマニュアルセットでの偏向のない言語とは、年齢、障害、性別、人種的アイデンティティ、民族的アイデンティティ、性的指向、社会経済的地位、およびインターセクショナリティに基づく差別を意味しない言語として定義されています。製品ソフトウェアのユーザーインターフェイスにハードコードされている言語、RFP のドキュメントに基づいて使用されている言語、または参照されているサードパーティ製品で使用されている言語によりドキュメントに例外が存在する場合があります。シスコのインクルーシブランゲージに対する取り組みの詳細は、こちらをご覧ください

翻訳について

シスコは世界中のユーザにそれぞれの言語でサポート コンテンツを提供するために、機械と人による翻訳を組み合わせて、本ドキュメントを翻訳しています。ただし、最高度の機械翻訳であっても、専門家による翻訳のような正確性は確保されません。シスコは、これら翻訳の正確性について法的責任を負いません。原典である英語版(リンクからアクセス可能)もあわせて参照することを推奨します。

概要

このドキュメントでは、Cisco E メール セキュリティ アプライアンス(ESA)での Padding Oracle On Downgraded Legacy Encryption(POODLE)攻撃について説明します。

問題

セキュア ソケット レイヤ(SSL)のバージョン 3.0(RFC-6101)は古く、安全でないプロトコルです。 ほとんどの実用的 な 目的で、それはサクセサと- Transport Layer Security (TLS)バージョン 1.0 (RFC-2246)、TLS バージョン 1.1 (RFC-4346)、および TLS バージョン 1.2 (RFC-5246) -多くの TLS 実装逆方向に残ります取替えられます間、か。SSL バージョン 3.0 と互換性があるスムーズなユーザ エクスペリエンスのためにレガシーシステムによって相互運用するため。 プロトコル ハンドシェイクは認証済みバージョンのネゴシエーションを提供します。そのため、通常、クライアントとサーバに共通の最新プロトコル バージョンが使用されます。 ただし、クライアント および サーバが両方 TLS のバージョンをサポートしても、SSL バージョン 3.0 によって提供されるセキュリティレベルはサーバを回避するために多くのクライアントがプロトコル ダウングレード ダンスを設定するのでまだ関連していますか。側面インターオペラビリティ バグ。

攻撃者はダウングレード ダンスを悪用して、SSL バージョン 3.0 の暗号化セキュリティを壊す可能性があります。 たとえば、POODLE の攻撃によってセキュアな HTTP クッキー(または HTTP 認証ヘッダーのコンテンツなどその他のベアラー トークン)を盗用することができます。

この脆弱性には、Common Vulnerabilities and Exposures(CVE)ID として、CVE-2014-3566 が割り当てられています。

解決策

関連するバグの一覧を示します。

  • Cisco Bug ID CSCur27131 - ESA での SSL バージョン 3.0 POODLE の攻撃(CVE-2014-3566)

  • Cisco Bug ID CSCur27153 - シスコのセキュリティ管理アプライアンスでの SSL バージョン 3.0 POODLE の攻撃(CVE-2014-3566)

  • Cisco Bug ID CSCur27189 - シスコの Web セキュリティ アプライアンスでの SSL バージョン 3.0 POODLE の攻撃(CVE-2014-3566)

  • Cisco Bug ID CSCur27340 - シスコの IronPort 暗号化アプライアンスでの SSL バージョン 3.0 POODLE の攻撃(CVE-2014-3566)

非連邦情報処理標準(FIPS)モードでは、SSL バージョン 3.0 はデフォルト設定で有効になっています。 FIPS モードでは、SSL バージョン 3.0 はデフォルトで無効になっています。 FIPS モードが有効であるかどうかを確認するには、次を入力します。

CLI> fipsconfig

FIPS mode is currently disabled.

FIPS モードが無効である場合、SSL バージョン 3.0 が sslconfig 設定で有効になっているかどうかを確認します。 メソッドとして sslv3 がリストされている場合、SSL バージョン 3.0 が有効になります。 これを TLS バージョン 1 に変更して、SSL バージョン 3.0 を無効にします。

CLI> sslconfig
sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: <cipher list>
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: <cipher list>
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: <cipher list>
example.com> sslconfig

sslconfig settings:
  GUI HTTPS method:  sslv3tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> GUI

Enter the GUI HTTPS ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the GUI HTTPS ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  sslv3tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> INBOUND

Enter the inbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the inbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  sslv3tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]> OUTBOUND

Enter the outbound SMTP ssl method you want to use.
1. SSL v2.
2. SSL v3
3. TLS v1
4. SSL v2 and v3
5. SSL v3 and TLS v1
6. SSL v2, v3 and TLS v1
[5]> 3

Enter the outbound SMTP ssl cipher you want to use.
[RC4-SHA:RC4-MD5:ALL]>

sslconfig settings:
  GUI HTTPS method:  tlsv1
  GUI HTTPS ciphers: RC4-SHA:RC4-MD5:ALL
  Inbound SMTP method:  tlsv1
  Inbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL
  Outbound SMTP method:  tlsv1
  Outbound SMTP ciphers: RC4-SHA:RC4-MD5:ALL

Choose the operation you want to perform:
- GUI - Edit GUI HTTPS ssl settings.
- INBOUND - Edit Inbound SMTP ssl settings.
- OUTBOUND - Edit Outbound SMTP ssl settings.
- VERIFY - Verify and show ssl cipher list.
[]>

example.com> commit

Please enter some comments describing your changes:
[]> remove SSLv3 from the GUI HTTPS method/Inbound SMTP method/Outbound SMTP method

Do you want to save the current configuration for rollback? [Y]>

Changes committed: Thu Oct 16 07:41:10 2014 GMT

関連情報

TAC Authored

シスコ エンジニア提供

  • Enrico Werner
    Cisco TAC Engineer.

このドキュメントは役に立ちましたか?

Feedbackフィードバック

シスコに問い合わせ

このドキュメントは次の製品に対応しています