ホーム テクノロジー セキュリティ Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?

Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?

Apache HTTP および Nginx Web サーバーの Logjam 脆弱性を修正するためのガイド

Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?
Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?

導入

Logjam の脆弱性は、2015 年 5 月 20 日に CNRS、Inria Nancy-Grand Est、Inria Paris-Rocquencourt、Microsoft Research、ジョンズ ホプキンス大学、ミシガン大学、ペンシルベニア大学のコンピュータ科学者チームによって TLS ライブラリ (EXPORT 暗号) で発見されました。 : David Adrian 、 Karthikeyan Bhargavan 、 Zakir Durumeric Pierrick Gaudry Matthew Green J. Alex Halderman Nadia Heninger Drew Springall Luke Valenta Benjamin VanderSloot Eric Wustrow Santiago Zanella-Beguelin 、および Paul Zimmermann

Logjam の脆弱性は、攻撃者 (中間者) が TLS 接続を 512 ビットの輸出グレードの暗号化にダウングレードするのに役立ちます。これは、攻撃者がネットワーク接続を介して送信されるデータを読み取り、変更するのに役立ちます。

アプリケーションが Logjam に対して脆弱な場合、攻撃者がクレジット カードや機密情報を読み取ることができるため、これは危険です。 FREAKアタックを思い出します。

Logjam の脆弱性は、TLS を利用する HTTPS、SSH、IPSec、SMTP などのプロトコルに存在する可能性があります。

5 月 24 日の時点で、 上位 100 万ドメインのうち 8.4% が Logjam の脆弱性の影響を受けています。

ログジャム統計
ログジャム統計
ログジャム統計

Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?
Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?

クライアントが脆弱かどうかをテストする

テストする最も簡単な方法は、ブラウザでこの SSL ラボ クライアント テスト ページ にアクセスすることです。

ログジャムクライアントテスト
ログジャムクライアントテスト
ログジャムクライアントテスト

あるいは、 これ を試すこともできます。

Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?
Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?

サーバーに脆弱性があるかどうかをテストする

テストに使用できるツールは複数あります。

TLS スキャナ – Testssl.sh を利用したオンライン スキャナで、指定されたサイトの TLS 構成ミスや Logjam などの脆弱性をチェックします。

KeyCDN – サイトが Logjam に対して脆弱かどうかをテストするためのもう 1 つのツールです。

ログジャム攻撃の脆弱性を修正

この脆弱性を軽減するには、それぞれの Web サーバー構成で EXPORT 暗号スーツを無効にすることができます。

Apache HTTPサーバー

SSL 構成ファイルに以下を追加して、エクスポート暗号を無効にします。

 SSLCipherSuite !EXPORT

Apache を再起動するだけです。

Nginx

nginx.conf ファイルに以下を追加します

ssl_ciphers '!EXPORT'; 
#Note: - If you already have ssl_ciphers configured, you just need to add !EXPORT in existing line instead of adding new one.

Sendmail、Tomcat、IIS、HAProxy、Lighthttpd などでこの問題を修正するには、 ここを 参照してください。

次は何ですか?

オンライン ビジネスの継続的なセキュリティ保護をお探しの場合は、クラウドベースの WAF の使用を検討してください。

「 Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?」についてわかりやすく解説!絶対に観るべきベスト2動画

Logjam Attack Explained
TLS Essentials 19: Attacking TLS with Logjam