Home » FreeBSD » Disable SSLv3 (bsdftpd-ssl) (Tag: )

Disable SSLv3 (bsdftpd-ssl)

2014/12/23 20:48

POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために、SSL 3.0 の無効化が推奨されました。

apache, sendmail 等メジャーなプログラムはその方法が多く掲載されていますが、マイナーな FTP サーバプログラム bsdftpd-ssl 1.1.0 における無効化の方法を記載します。

調べた限りでは、apache, sendmail 等と異なり設定ファイルでの調整では無効化出来ませんでした。そのため、ソースファイルを修正して再度コンパイルします。

ポイントは sslapp.c で SSL 2.0, 3.0 の無効を明言することです。

ログファイルや ftps コマンドでのプロンプトでは、SSLv3, TLSv1 どちらのバージョンでも TLSv1/SSLv3 と表記されるため、ftpd.c, util.c の修正により明示することが可能です。

# diff update/ftpd.c bsdftpd-ssl-1.1.0/ftpd/
4773c4773
<                       SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher), ssl_bits);
---
>                       ssl_version, SSL_CIPHER_get_name(ssl_cipher), ssl_bits);

# diff update/sslapp.c bsdftpd-ssl-1.1.0/ssl/
137,138c137
<     /* SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL); */
<     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
---
>     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL);

# diff update/util.c bsdftpd-ssl-1.1.0/ftp/
1002c1002
<                           SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher),
---
>                           ssl_version, SSL_CIPHER_get_name(ssl_cipher),

sslapp.c で意図的に無効化することで挙動の確認を取りました。まずは TLSv1 を無効化して、SSLv2, SSLv3 が有効化されている状態です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_TLSv1);

# /var/log/xferlog

Dec 23 09:47:40 hs ftpd[47022]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, SSLv3, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[SSLv3, cipher AES256-SHA, 256 bits]

次に、本来の措置 SSLv2, SSLv3 を無効化した場合です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3)

# /var/log/xferlog

Dec 23 09:54:52 hs ftpd[6198]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, TLSv1, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[TLSv1, cipher AES256-SHA, 256 bits]

Random Select

東急ハンズ 宜野湾コンベンションシティ店
沖縄で多店舗展開しているサンエーの新店が 宜野湾コンベンションシティ で、7/5 にオープンします。# "サンエーはイトーヨーカドーみたいな感じ" と言うと、ないちゃーは大抵理解し
Herb
以前社内で開催されたセールス・プロモーションに関する勉強会の内容を整理してみました。サービス化に際し、心がける点ニーズがあって成長が見込めるか。利益・単価が取れる。経験の延長上にあるか。始めてすぐにナ
2014/10/10 払い戻し (2)
09/19 – 09/24 はプライベートでは長期滞在に入る沖縄旅行でした。その回とは別に、去年 10 月に伊江島を訪れて 沖縄本島 (No. 6 – 打ち上げ) したメンバー
与那国産カジキ 300g (2 日目)
自宅 de 与那国産カジキ (Part 1) の続きです。薄いビニールに覆われていたカジキブロックを取り出し、まな板の上に乗せました。木の切り株の様です。この厚みが伝わるでしょうか。切り方を色々調べま
FreeBSD Logo
VirtualBox (FreeBSD 9.1-RELEASE + xorg 7.7) の時点で、ノート PC 側は Emacs 24.3 + Mew 6.5 の環境に変更していました。ちょうど沖縄出
サラダとドレッシング
今回の沖縄出張は 10/04 入りの 10/20 帰りでした。本筋の目的は 10/09 – 10/19 で業務しましたが、ここからは最近の定宿 ホテル ノア での寝起きになります。ここであ
Herb
未だにプロダクトアウトではなくサービスインで商品開発すべきという話を聞くこともあります。私はマーケティングが専門でもなく言葉の意味合いを知っている程度ですが、この言葉だけを聞くと違和感を感じざるを得ま
かつぎや担々麺 + 辛さ 4 (大辛)
最近週末は "自宅 de タコライス" が続いたせいか、平日にもピリ辛なメニューを欲している気がしてなりません。以前私の中では日本一美味しいカレーだった "バルチックカレ
Herb
セールスメモ (No. 1) の続きです。以前社内で開催されたセールス・プロモーションに関する勉強会の内容を整理してみました。事例 -> 拡販リスティング広告以前に SEO 対策が必要。インター
さば焼定食 (1)
日本一美味しいとりのから揚げ でご紹介した 味安 は、久しぶりに訪れると必ず "とり唐揚定食" をオーダーしてしまいます。いさば (サバ) の頃から、味安でも数年前に一度サバの塩焼
Valid HTML5 Valid CSS3 Another HTML Lint