概要
「Logjam」脆弱性(CVE-2015-4000)の回避方法を教えてください。
詳細
脆弱性の概要
本脆弱性は、「ディフィー・ヘルマン鍵交換(DH鍵交換)」の実行方法にあり、Webサイトなどで通信内容を暗号化する仕組みにおける脆弱性です。 この脆弱性を利用する攻撃者は、「Man-In-The-Middle(MitM、中間者)攻撃」を実行し、HTTPS や SSH、VPN といった安全な接続で利用される暗号強度を弱めることができます。理論上は、十分な計算能力があれば、暗号を解読して「安全」とされるトラフィックを読み出すことが可能です。
回避方法
以下の手順を実施することで、回避することができます。
- Service Pack 1 Patch 5 および Critical Patch 1414 を適用してください。
※Red Hat Enterprise Linux 7 をご利用の場合は、適用する必要はございません。 - /opt/TrendMicro/SProtectLinux/SPLX.httpd/conf/splxhttpd.conf の以下の部分を変更してください。
(変更前)
SSLProtocol -ALL +SSLv3 +TLSv1
SSLCipherSuite ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:RC4+RSA:+HIGH:+MEDIUM
※個別に編集している場合は、上記の限りではありません。
(変更後)
SSLProtocol ALL -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AESGCM:RSA+AES:RSA+3DES:!aNULL:!MD5:!DSS:!EDH - splxhttpd デーモンを再起動してください。
/etc/init.d/splxhttpd restart