TrendMicroブログピックアップ:SSL/TLS通信時の脆弱性「FREAK」
今回はTrendMicroのブログから。
1週間のタイトルを確認してみると、下記3件。
SSL/TLS通信時の脆弱性「FREAK」、その影響度は? | トレンドマイクロ セキュリティブログ
データベース「MongoDB」の管理ツール「phpMoAdmin」に存在するゼロデイ脆弱性の解析 | トレンドマイクロ セキュリティブログ
Linux用ファイル共有サービス「Samba」に存在する脆弱性「CVE-2015-0240」 | トレンドマイクロ セキュリティブログ
今、脆弱性情報としてホットになっているFREAKの記事のポイントをまとめます。
・SSL/TLS通信にて暗号化強度の弱い暗号を使用させることができる
・攻撃成功には条件あり
①中間者攻撃(MITM攻撃)が可能
②接続元クライアントが脆弱性を受けるソフトを使用
③接続先サーバが「RSA Export Suites」をサポート
・信頼性の高いWebサイトも該当。bloombergなどのサイトも該当しているとか
・サーバ側の対策としては、「RSA Export Suites」を使用しないようにすること
なお、記事にSSLサイトの脆弱性をチェックするサイトがあったので載せておきます。
SSL Server Test (Powered by Qualys SSL Labs)
攻撃のハードルは高いですが、脆弱性があるかチェックができてしまうので、サーバ側での対策は検討すべきかと思います。
これが記念すべき初回となります。
正確性に欠けることもありますので、気になった方はサイトを確認いただければと。