Apache HTTP および Nginx Web サーバーの Logjam 脆弱性を修正するためのガイド
導入
Logjam の脆弱性は、2015 年 5 月 20 日に CNRS、Inria Nancy-Grand Est、Inria Paris-Rocquencourt、Microsoft Research、ジョンズ ホプキンス大学、ミシガン大学、ペンシルベニア大学のコンピュータ科学者チームによって TLS ライブラリ (EXPORT 暗号) で発見されました。 : David Adrian 、 Karthikeyan Bhargavan 、 Zakir Durumeric 、 Pierrick Gaudry 、 Matthew Green 、 J. Alex Halderman 、 Nadia Heninger 、 Drew Springall 、 Luke Valenta 、 Benjamin VanderSloot 、 Eric Wustrow 、 Santiago Zanella-Beguelin 、および Paul Zimmermann 。
Logjam の脆弱性は、攻撃者 (中間者) が TLS 接続を 512 ビットの輸出グレードの暗号化にダウングレードするのに役立ちます。これは、攻撃者がネットワーク接続を介して送信されるデータを読み取り、変更するのに役立ちます。
アプリケーションが Logjam に対して脆弱な場合、攻撃者がクレジット カードや機密情報を読み取ることができるため、これは危険です。 FREAKアタックを思い出します。
Logjam の脆弱性は、TLS を利用する HTTPS、SSH、IPSec、SMTP などのプロトコルに存在する可能性があります。
5 月 24 日の時点で、 上位 100 万ドメインのうち 8.4% が Logjam の脆弱性の影響を受けています。
クライアントが脆弱かどうかをテストする
テストする最も簡単な方法は、ブラウザでこの SSL ラボ クライアント テスト ページ にアクセスすることです。
あるいは、 これ を試すこともできます。
サーバーに脆弱性があるかどうかをテストする
テストに使用できるツールは複数あります。
TLS スキャナ – Testssl.sh を利用したオンライン スキャナで、指定されたサイトの TLS 構成ミスや Logjam などの脆弱性をチェックします。
KeyCDN – サイトが Logjam に対して脆弱かどうかをテストするためのもう 1 つのツールです。
ログジャム攻撃の脆弱性を修正
この脆弱性を軽減するには、それぞれの Web サーバー構成で EXPORT 暗号スーツを無効にすることができます。
Apache HTTPサーバー
SSL 構成ファイルに以下を追加して、エクスポート暗号を無効にします。
SSLCipherSuite !EXPORT
Apache を再起動するだけです。
Nginx
nginx.conf ファイルに以下を追加します
ssl_ciphers '!EXPORT';
#Note: - If you already have ssl_ciphers configured, you just need to add !EXPORT in existing line instead of adding new one.
Sendmail、Tomcat、IIS、HAProxy、Lighthttpd などでこの問題を修正するには、 ここを 参照してください。
次は何ですか?
オンライン ビジネスの継続的なセキュリティ保護をお探しの場合は、クラウドベースの WAF の使用を検討してください。