http://googleonlinesecurity.blogspot.jp/2014/10/this-poodle-bites-exploiting-ssl-30.html
http://www.itmedia.co.jp/news/articles/1410/15/news054.html
http://japan.cnet.com/news/service/35055155/
Googleのセキュリティチームが見つけたらしい
詳細は上のリンク参照
対策しなきゃ
Server
Apache
- /etc/httpd/conf.d/ssl.conf
SSLProtocol all -SSLv2 -SSLv3
Postfix
- /etc/postfix/main.cf
smtpd_tls_mandatory_protocols=!SSLv2,!SSLv3
Dovecot
- /etc/dovecot/conf.d/10-ssl.conf
ssl_cipher_list = ALL:!LOW:!SSLv2:!SSLv3:!EXP:!aNULL
設定を変えたら必ずRestartすること
Browser
Internet Explorer
- インターネットオプションを開く
- 詳細設定タブに移動し、セキュリティの中の「SSL3.0を使用する」のチェックを外す
Google Chrome
- 起動オプションに「--ssl-version-min=tls1」を追加
Mozilla Firefox
- アドレスバーに「about:config」を入力し移動
- 警告が表示されるので「細心の注意を払って使用する」を押下
- 検索欄に「security.tls.version.min」を入力し、値を「1」に変更する
確認
サーバーはここ
http://poodlebleed.com/
ブラウザはここ
https://www.poodletest.com/
参考にしたURL
- http://askubuntu.com/questions/537196/how-do-i-patch-workaround-sslv3-poodle-vulnerability-cve-2014-3566
- http://seenthis.net/tag/city:poodle
- https://access.redhat.com/ja/solutions/1233023
- http://qiita.com/watarin/items/2b0d91f797ca70a1171b
- http://d.hatena.ne.jp/riocampos+tech/20141015/how_not_to_bite_poodle_on_mac_chrome
- http://dev.classmethod.jp/cloud/aws/cve-2014-3566-poodle-issue/