AWS環境のDROWN対応 (CVE-2016-0800)について

はじめに

AWSチームのすずきです。

2006年3月1日、SSL/TLSが不正に盗聴される恐れのある脆弱性として DROWN (Decrypting RSA with Obsolete and Weakened eNcryption)の報告がありました。

An OpenSSL User’s Guide to DROWN

AWSからも、ELB（ロードバランサ）利用者向けのアナウンスがありましたので、その内容について紹介します。

CVE-2016-0800 Advisory

DROWNについて

サーバがSSLv2による接続が可能な場合、第三者による攻撃により暗号化された通信が不正に復号される恐れがあります。

AWSでの対応について

ELB

• AWSコンソールのEC2画面より、「ロードバランサー」の画面を開きます。
• 対象となるELBを指定し、「リスナー」のタブから「変更」を指定し設定画面を開きます。

事前定義されたセキュリティポリシーとして「2011−08」以降が選択されている場合、今回報告されたDROWNの影響はありません。

AWSでは最新の事前定義されたセキュリティポリシーの利用が推奨されています。 特に「2014−01」以前の古いポリシーを利用されている場合には、 2014年に報告されたSSLv3の脆弱性、POODLEなどの影響を受けるリスクを避けるため、 この機に設定変更を行う事をご検討ください。

カスタムセキュリティポリシーを利用し、プロトコルとして「Protocol-SSLv2」がチェックされている場合、 そのチェックを外す事でSSLv2接続が無効化されます。

Elastic Load Balancing での事前定義された SSL のセキュリティポリシー

マネージドサービス

S3などAWSのマネージドサービスでHTTPSプロトコルを利用するエンドポイントはSSLv2接続には非対応のため、DROWNの影響はありません。

EC2上のミドルウェア

Apache（httpd）、Nginx、PostfixなどでSSLv2が有効に設定されていて、インターネットに公開されている場合、DROWNの影響回避のためSSLv2を無効化する必要があります。

参考リンク（SSLv3の記事ですが、SSLv2の無効化設定例も記述されています）

AWS環境のPOODLE脆弱性対応 (CVE-2014-3566)

• Apache HTTPDサーバ
• Nginxサーバ
• Postfixサーバ
• Windows Server

SSL設定診断

ELBやWebサーバのSSL設定の変更後、SSL Server Testを実施する事をお奨めします。

当テストでA以上のスコアが出れば、安心して暗号化通信が利用出来る設定です。

QUALYS SSL LABS SSL Server Test

まとめ

全HTTPS提供サイトの1/3に影響ありとの報道があった脆弱性の「DROWN」、 AWSのELB（ロードバランサ）を利用したシステムの多くは該当しないものでしたが、 ただ安心、安全に暗号化通信を行うため、この機会にセキュリティ設定の見直しを行う事をお奨めします。

参考リンク

• 全HTTPSサイトの33％でSSL/TLSが解読される恐れのある脆弱性「DROWN」、OpenSSLチームは修正パッチを配布
• 深刻な脆弱性「DROWN」 - SSLv2利用サーバで暗号化通信が盗聴されるおそれ