SSLv3の脆弱性 POODLE(CVE-2014-3566)について対応方法を知りたい。
作成日:2014年10月30日 | 更新日:2014年11月12日
【現象/要望】 SSLv3の脆弱性 POODLE(CVE-2014-3566)について対応方法を知りたい。
【原因】
【解決方法】
OpManagerにhttpsで接続する設定を行っている場合、SSLv3が使用され当該脆弱
性の影響を受ける場合があります。
OpManagerでは以下の方法でSSLv3を使用しない設定を行い脆弱性の影響を回避します。
OSとOpManagerの起動方法に応じて、それぞれ設定を変更しますが、
最初に共通の設定変更項目として以下を確認します。
共通の設定変更項目
1.OpManagerを停止
2.OpManager\tomcat\conf\backup\ssl_server.xmlファイルを以下のように編集し保存。
sslProtocolのパラメータを赤字のsslEnabledProtocolsとし赤字のTLSv1,SSLv2Helloと変更します。
対象行:72行目
変更前)
<Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" keystoreFile="WEBNMS_ROOT_DIR/conf/OPMTrans.key" keystorePass="opmanager" maxThreads="150" minSpareThreads="3" noCompressionUserAgents="gozilla, traviata" port="WEBSERVER_PORT" protocol="HTTP/1.1" scheme="https" secure="true" sslProtocol="TLS"/>
変更後)
<Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" keystoreFile="WEBNMS_ROOT_DIR/conf/OPMTrans.key" keystorePass="opmanager" maxThreads="150" minSpareThreads="3" noCompressionUserAgents="gozilla, traviata" port="WEBSERVER_PORT" protocol="HTTP/1.1" scheme="https" secure="true" sslEnabledProtocols="TLSv1,SSLv2Hello" />
Windows OSのサービスからOpManagerサービスを開始しOpManagerを起動する運用を行っている場合)
Windows OSのサービスからOpManagerサービスを開始しOpManagerを起動する運用を行っている場合には以下の手順を確認します。
3.OpManager\conf\wrapper.confファイルにおいて以下の通り変更し保存。
赤字のwrapper.java.additional.14=-Dhttps.protocols=TLSv1を追加します。
対象行:135行目
変更前)
wrapper.java.additional.13=-Djava.net.preferIPv4Stack=true
変更後)
wrapper.java.additional.13=-Djava.net.preferIPv4Stack=true
wrapper.java.additional.14=-Dhttps.protocols=TLSv1
4.OpManagerサービスを起動
Windows OSで、OpManagerのアプリケーション(OpManager\bin\StartOpManagerServer.bat)から起動する運用を行っている場合)
Windows OSで、OpManagerのアプリケーション(OpManager\bin\StartOpManagerServer.bat)から起動する運用を行っている場合には以下の手順を確認します。
3. OpManager\bin\StartOpManagerServer.batファイルを以下のように赤字の-Dhttps.protocols=TLSv1を追加編集し保存
対象行:13行目
変更前) -Dcatalina.home=.\tomcat -XX:+HeapDumpOnOutOfMemoryError
変更後) -Dcatalina.home=.\tomcat -Dhttps.protocols=TLSv1 -XX:+HeapDumpOnOutOfMemoryError
4.OpManager\bin\StartOpManagerServer.batを実行しOpManagerを起動
LinuxサーバにOpManagerをインストールしている場合)
LinuxサーバにOpManagerをインストールしている場合には、以下の手順を確認します。
手順)
3. OpManager\bin\StartOpManagerServer.shファイルを以下のように赤字の-Dhttps.protocols=TLSv1を追加編集し保存
対象行:85行目
変更前) -Djava.rmi.server.codebase="$CODEBASE_LIST" -XX:+HeapDumpOnOutOfMemoryError
変更後) -Djava.rmi.server.codebase="$CODEBASE_LIST" -Dhttps.protocols=TLSv1 -XX:+HeapDumpOnOutOfMemoryError
4.OpManager\bin\StartOpManagerServer.shを実行しOpManagerを起動
<確認方法>
SSLv3が無効になっているかどうかについて確認する方法は、
Windows IEブラウザ上での確認方法]とLinux上での確認方法]の2通りあります。
Windows IEブラウザ上での確認方法]
WindowsのIEブラウザのインターネットオプションから詳細設定を開き、以下の設定を行います。
-----------------------
"SSL3.0を使用する"をチェック
"TLS1.0を使用する"のチェックを外す
"TLS1.1の使用"のチェックを外す
"TLS1.2の使用"のチェックを外す
-----------------------
上記設定後、OpManagerにアクセスし、
ログイン画面が表示されなければSSLv3を使用できないように設定できています。
Linux上での確認方法]
正しく設定されているかどうかは、Linuxマシン上から以下のコマンドをそれぞれ入力すれば確認できます。
・認証情報の取得に成功する
openssl s_client -host <OpManagerサーバのIPアドレス> -port <SSL_PORT> -tls1
・認証情報の取得に失敗する
openssl s_client -host <OpManagerサーバのIPアドレス> -port <SSL_PORT> -ssl3
※tls1のときと同じように認証情報が取得できた場合は、設定が正しく行えていません。
注意事項)
・httpsでOpManagerに接続する設定を行っていない場合、本脆弱性の影響はございません。
・OpManagerをアップグレードしますと設定が初期化されてしまいますので、
最新のバージョンへアップグレードする度に上記手順の設定を行う必要があります。
【対応リリース】 x.x
★-----------------------------------------------------------------------------★
OpManager 製品紹介ページはこちら ↓
https://www.manageengine.jp/products/OpManager/index.html
★-----------------------------------------------------------------------------★