DROWN という脆弱性。

 「脆弱性「DROWN」、非推奨のSSLv2に存在することが確認される。HTTPSサーバ全体の3分の1に影響」というのを読んだんで, The DROWN AttackDROWN Scanner で, o6asan.com のチェックをやってみた。 DROWN て OpenSSL Security Advisory [1st March 2016] の関係のヤツだよね。

 The DROWN Attack の結果は,下記の通り。「TERMS AND DISCLAIMERS」というお約束の注意書き付き:

Results for o6asan.com

We have not identified any vulnerable servers matching this name. It’s possible that our scans missed something, or that there are vulnerable devices behind your firewall. For such devices, we recommend using our client-side scanning software.

 でもって,こっちが, DROWN Scanner の結果:

$ docker run -it public-drown-scanner o6asan.com 443
Testing o6asan.com on port 443
o6asan.com: Case 3d; Server hello did not contain SSLv2
o6asan.com: Server is NOT vulnerable with cipher RC2_128_CBC_EXPORT40_WITH_MD5, Message: 3d: no tls

o6asan.com: Case 3d; Server hello did not contain SSLv2
o6asan.com: Server is NOT vulnerable with cipher RC4_128_EXPORT40_WITH_MD5, Message: 3d: no tls

o6asan.com: Case 3d; Server hello did not contain SSLv2
o6asan.com: Server is NOT vulnerable with cipher RC4_128_WITH_MD5, Message: 3d: no tls

o6asan.com: Case 3d; Server hello did not contain SSLv2
o6asan.com: Server is NOT vulnerable with cipher DES_64_CBC_WITH_MD5, Message: 3d: no tls

 どっちも予想通りの結果だった。

 DROWN Scanner を Windows 上で使うには, DockerToolbox が便利。インストールの前に, Install Docker for Windows はしっかり読んでおこう。実のところ, Cygwin で Docker を使いたかったんだが,「cannot enable tty mode on non tty input」いただいちゃったので,あきらめた。
 public_drown_scanner-master.zip のダウンロードと,展開は Windows 上でやっておいたほうが楽。落とし場所は, Downloads フォルダ,展開後のフォルダ名は public_drown_scanner にした。

 インストールがすんだら,デスクトップ上の「Docker Quickstart Terminal」アイコンをダブルクリック。ちょっと時間がかかるが,最終的に,ターミナル窓内に $ プロンプトが表示される。
   $ cd Downloads/public_drown_scanner
   $ docker build -t public-drown-scanner .
   $ docker run -it public-drown-scanner localhost 443
 上記のうちのような結果か,ほかの結果が表示される。おしまい。

「DROWN という脆弱性。」への8件のフィードバック

  1. こんにちは

    パソコンの前にはいるんですが、ネット小説ばかりよんでいます。さて、昨日の夜にphpのバージョンアップおわりました。今のところ様子見中です。

    http/2のサーバープッシュは自分のサイトならいいけど、
    人様のサイトじゃやりにくいですね。要らぬトラブルに発展しないよう会社は実装しません。

    次にDROWNです。
    sslv2が有名サイトで25パー、httpsで33パーとまだうごいているのにびっくりです。sslはpoodleで絶滅したとおもったんですけどね。でも、今回のことできえていくでしょう。

    1. くりくりさん,こんにちは。

      > 人様のサイトじゃやりにくいですね。
      そうなんですよね。なんかそんな感じがしました。まぁ,実装されだしたばかりだから,そのうち誰かがうまい仕組みを考えてくれるのかもと,他人を当てにしています。

      > でも、今回のことできえていくでしょう。
      どうなんでしょうか。今回,大手どころをちょっと調べたのですが, app とついているようなドメインで, SSLv2 をサポートしているところがありました。もっとも, 1 日経つと fixed になったりしてましたが。

  2. こんにちは

    sslv2の接続を維持しなくちゃいけない理由がわかりませんがつかわなくちゃいけない理由があるんでしょうね。
    そしてlet`s encryptの本格運用はいつになるんでしょうかね?
    そろそろ色々テストしたいんですけどね。

    1. くりくりさん,こんばんは。

      > そろそろ色々テストしたいんですけどね。
      本格運用の時期は,まだ書かれていないようですが,パブリックベータなんで,テストはしていてもかまわないんじゃないですか?
      そういえば,先日書いた「HTTP/2のチューニング」さんとこの証明書は, Let’s Encrypt になってましたよ。取得方法も種々お書きでしたね。

      それと, SSLLabs の dev 版が Drown チェックに対応したようです。

  3. おはようございます。

    let`s encryptはベータなんでドメインの制限があるみたいなんですよ。それにどうせやるのなら本格的運用からしたいというのもありますし、早くhttpsが広まれてとも思っています。

    それとdhcpの脆弱性がでていましたが、
    http://www.security-next.com/067619
    以前の脆弱性もよくわからないままきえていましたね。

    1. くりくりさん,こんにちは。

      > ベータなんでドメインの制限があるみたいなんですよ。
      この辺の話ですか? Win 上でのインストールについても公式のサポートはいまだにないようです。 Lone Coder の git のリポに letsencrypt-win-simple がありますが,これを使っている人が結構いるみたいです。

      > 以前の脆弱性もよくわからないままきえていましたね。
      これ,以下に 3 つ並べてみました。素朴な疑問なんですが,なんでナンバーが日付順じゃないんでしょうか。公開の日付と受け付けの日付が違うのかな。ナンバーは,受け付けの日付順になってるのかもしれませんね。
      JVNVU#98704210 公開日:2015/12/24
      JVNVU#99390211 公開日:2016/01/13
      JVNVU#96567499 公開日:2016/03/08

      glibc の件もあのままですが,これ見るとうちのルータは大丈夫なような……。

  4. おはようございます。

    ベータ期間はサブふくめて?5ドメイン、
    サービス開始だと100ドメインみたいです。
    winもpowershellに対応させる話があるときいたのですが、
    win-simpleですで対応できるみたいですね。
    これがあるのなら、上記のはいらないとおもいます。

    >素朴な疑問なんですが

    どっかの企業が脆弱性はありませんでしたと更新されるからじゃないかな。そのたびにjvnトップにくるから煩わしい。
    また、脆弱性がでたとおもってしまいます。

    それとbindとflash playerの脆弱性がでていました。
    http://www.security-next.com/067755

    1. くりくりさん,こんにちは。

      > ベータ期間はサブふくめて?5ドメイン、
      > サービス開始だと100ドメインみたいです。
      これはどこにある情報ですか。私が探し出せたのは,前コメントにも書いた Rate Limits for Let’s Encrypt だけだったんですが……?

      > win-simpleですで対応できるみたいですね。
      letsencrypt-win-simple は活発に改良が進んでいるようなので,もしかしたらオフィシャルがインクルードする日が来るのかもとか,考えました。。

      > どっかの企業が脆弱性はありませんでしたと更新されるからじゃないかな。
      それだと,更新日で対応できると思うんですが,公開日がナンバーと前後しているもんで,疑問を感じたんです。

      Adobe 系,我が家は,対応すんでました。 MS の Edge と IE11 が遅れることがあるんですが,これも昨日―つうかタイムスタンプが UTC だとすると今日になってからかも―出たみたいです。 Flash Player, AIR, 先日の Acrobat Reader と百花繚乱ですね。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください