ホーム テクノロジー セキュリティ Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?

Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?


Apache HTTP および Nginx Web サーバーの Logjam 脆弱性を修正するためのガイド

導入

Logjam の脆弱性は、2015 年 5 月 20 日に CNRS、Inria Nancy-Grand Est、Inria Paris-Rocquencourt、Microsoft Research、ジョンズ ホプキンス大学、ミシガン大学、ペンシルベニア大学のコンピュータ科学者チームによって TLS ライブラリ (EXPORT 暗号) で発見されました。 : David Adrian 、 Karthikeyan Bhargavan 、 Zakir DurumericPierrick GaudryMatthew GreenJ. Alex HaldermanNadia HeningerDrew SpringallLuke ValentaBenjamin VanderSlootEric WustrowSantiago Zanella-Beguelin 、およびPaul Zimmermann

Logjam の脆弱性は、攻撃者 (中間者) が TLS 接続を 512 ビットの輸出グレードの暗号化にダウングレードするのに役立ちます。これは、攻撃者がネットワーク接続を介して送信されるデータを読み取り、変更するのに役立ちます。

アプリケーションが Logjam に対して脆弱な場合、攻撃者がクレジット カードや機密情報を読み取ることができるため、これは危険です。 FREAKアタックを思い出します。

Logjam の脆弱性は、TLS を利用する HTTPS、SSH、IPSec、SMTP などのプロトコルに存在する可能性があります。

5月 24 日の時点で、上位 100 万ドメインのうち 8.4% がLogjam の脆弱性の影響を受けています。

ログジャム統計
ログジャム統計
ログジャム統計

クライアントが脆弱かどうかをテストする

テストする最も簡単な方法は、ブラウザでこのSSL ラボ クライアント テスト ページにアクセスすることです。

ログジャムクライアントテスト
ログジャムクライアントテスト
ログジャムクライアントテスト

あるいは、 これを試すこともできます。

サーバーに脆弱性があるかどうかをテストする

テストに使用できるツールは複数あります。

TLS スキャナ – Testssl.sh を利用したオンライン スキャナで、指定されたサイトの TLS 構成ミスや Logjam などの脆弱性をチェックします。

KeyCDN – サイトが Logjam に対して脆弱かどうかをテストするためのもう 1 つのツールです。

ログジャム攻撃の脆弱性を修正

この脆弱性を軽減するには、それぞれの Web サーバー構成で EXPORT 暗号スーツを無効にすることができます。

Apache HTTPサーバー

SSL 構成ファイルに以下を追加して、エクスポート暗号を無効にします。

 SSLCipherSuite !EXPORT

Apache を再起動するだけです。

Nginx

nginx.conf ファイルに以下を追加します

ssl_ciphers '!EXPORT'; 
#Note: - If you already have ssl_ciphers configured, you just need to add !EXPORT in existing line instead of adding new one.

Sendmail、Tomcat、IIS、HAProxy、Lighthttpd などでこの問題を修正するには、 ここを参照してください。

次は何ですか?

オンライン ビジネスの継続的なセキュリティ保護をお探しの場合は、クラウドベースの WAF の使用を検討してください。

「 Logjam Attack (CVE-2015-4000) をテストして修正するにはどうすればよいですか?」についてわかりやすく解説!絶対に観るべきベスト2動画

Logjam Attack Explained
TLS Essentials 19: Attacking TLS with Logjam