<< 2024/04 >> | 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | 10 | 11 | 12 | 13 | 14 | 15 | 16 | 17 | 18 | 19 | 20 | 21 | 22 | 23 | 24 | 25 | 26 | 27 | 28 | 29 | 30 |
|
PMail Server2 Version 2.20a をリリース& SSL/TLS通信の FREAK 問題
15/03/09 06:37 / PMailServer2
表題のバージョンをリリースしました。
主な変更点として 1)SSL/TLS 通信に SSL3 / TLS1.0 / TLS1.1 / TLS1.2 を選択できるようにしました。 2)SSL/TLS 通信で RC4 ストリーム暗号を無効にできるオプションを追加しました。(対応できる OS が限定されています) さて、先日 SSL/TLS 通信で FREAK問題が発表されて、確認をされているサーバー管理者様も多いかと思います。 ここでちょっと簡単におさらいをしたいと思います。 (詳しくは IT関係のサイトの方が詳しいでしょう。) さて、Windows 以外の OS の場合、SSL/TLS 通信は、schannel というライブラリで行われています。 Windows にもありますが、Windows 以外の場合は OpenSSL が有名ですね。 話題になっているのは、OpenSSL の CVE-2015-0204 という問題でして、SSL/TLS 通信に介入して、弱い暗号で通信するように仕組んで解析しやすいデータにして、解読したり改竄したりする問題です。 OpenSSL の問題だから、Windows Server は関係ないんじゃないの?と思っていたのですが、どうやら schannel にも同様の問題(限定的ながら)があったようです。 限定的というのは、Windows Server にも、鍵長が短いのがインストールされていますが、Windows Server の場合はデフォルトで無効に設定されているらしいです。 (Windows Server のお話で Windows7 とかのクライアント側はそうじゃないかもしれないです) PMail Server2 は Windows Server で動かして欲しいのですが、Windows7 とかでも動いてしまうので、その場合は関係が出てくるかもしれません。 (それと別なのか、それとも同一の問題なのかがはっきりしませんが、schannel 自体にセキュリティ機能を迂回する脆弱性(セキュリティアドバイザ 3046015)が見つかったということで、OpenSSL じゃないよ、schannel だから OK とか、Windows Server だから OK って訳ではないようです) 私も ITMedia とか ZDNet を見て書いているだけなので詳しくはありませんが・・・ 話は戻しまして、上記の問題が出てきましたので、PMail Server2 は従来 SSL3/TLS1.0 (SSL2 は元から非対応)でしたが、少々手を入れまして、追加で TLS1.1 と TLS1.2 を選択できるようにしまして、それとついでに、脆弱性が見つかっている RC4 ストリーム暗号を無効にするオプション(ただし、KB2868725 がインストールされている必要があります)を追加しました。 TLS1.2 が現在最も安全なプロトコルですので、全てのクライアントが TLS1.2 に対応しているのであれば、SSL3 / TLS1.0 / TLS1.1 は off にして TLS1.2 のみにすると安全になります。 あとついでですが、Windows にインストールされている、ciphers suite(暗号化のリスト)を確認したいと思ったのですが、あちこちのサイトを見たのですが、どうやらレジストリを直接参照しないと見れないようです。 「そんな訳あるか!」と思って調べた所、BCryptEnumContextFunctions() という bcrypt API を使えば取得できるようなので、1本コマンドラインツールを作ってみました。(フリーソフトのライブラリにある、windows ciphers viewer 0.01 というソフトがそうです) 実行すると、上記のような感じで現在利用できる ciphers suite を確認することができます(多分) 最近の Windows であれば、利用できますが、bcrypt 自体が Windows Vista 以降の機能ですので、Vista 以降で無いと利用はできないと思います。 もしリストの中に 128 とか 256 と書いてあるのが鍵の長さです。 もし 40 とか 58 などがあると、それは短い鍵なので、ちょっとまずいことになるかもしれません。 (しかし、こういうツールって Windows XP とかの古い OS で動かないと余り意味が無いんですよね・・・) [更新日付:2015/03/09 06:37:06]
トラックバックを見る(0) Log Link [https://akisoftware.com/cgi-bin/blom.exe?akisoft+sl+6b8a12225f0e0b40c96b4a321e9a48255bee3e97] TB Link [https://akisoftware.com/cgi-bin/blom.exe?akisoft+tb+6b8a12225f0e0b40c96b4a321e9a48255bee3e97] 記事へのコメント コメントはありません |
@AKISoftOfficialをフォロー
掲示板 サポートBBS PMailServer BBS アクセスの多い記事
最新記事(カテゴリ別)
PMailServer2 Version 2.53 をリリースしました。
04/08 00:50 フリー版からの製品版移行時の MTA 並列数について 02/17 23:52 メールサーバーの開発を始めて20年 02/07 21:46 PMailServer2 Version 2.52a をリリースしました。 12/26 14:02 PMailServer2 Version 2.52 をリリースしました。 10/01 10:48 PMailServer2 Version 2.51b をリリースしました。 09/19 01:43 PMailServer2 Version 2.51b(仮) Memo 09/12 00:33 PMailServer2 Version 2.51a をリリース、及び脆弱性についてのお知らせ 09/05 01:15 PMailServer2 Version 2.51a Memo 08/21 00:48 アドレスV125(K5)のスターターリレーの交換 08/04 10:10 最新コメント
コメントはありません
UUアクセス数
今日は 53回
昨日は 249回 トータル 304579回 3ヶ月記事別ランキング
プロフィール
Z80から68系、8086系を経由して
Pascalに移行。現在は Delphiをメインに C/C#も囓ってみたり。 「無い物は作れ」の精神で年がら年中なにかを作っています。 すぐ自前で作りたがるので無駄に工数が上がったりして自爆してみたりもします。 好きな物は麺類とお煎餅 Blom内検索
BLOM Version 1.39 ©2007-15 A.K.I Software all rights reserved. |