Home » FreeBSD » Disable SSLv3 (bsdftpd-ssl) (Tag: )

Disable SSLv3 (bsdftpd-ssl)

2014/12/23 20:48

POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために、SSL 3.0 の無効化が推奨されました。

apache, sendmail 等メジャーなプログラムはその方法が多く掲載されていますが、マイナーな FTP サーバプログラム bsdftpd-ssl 1.1.0 における無効化の方法を記載します。

調べた限りでは、apache, sendmail 等と異なり設定ファイルでの調整では無効化出来ませんでした。そのため、ソースファイルを修正して再度コンパイルします。

ポイントは sslapp.c で SSL 2.0, 3.0 の無効を明言することです。

ログファイルや ftps コマンドでのプロンプトでは、SSLv3, TLSv1 どちらのバージョンでも TLSv1/SSLv3 と表記されるため、ftpd.c, util.c の修正により明示することが可能です。

# diff update/ftpd.c bsdftpd-ssl-1.1.0/ftpd/
4773c4773
<                       SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher), ssl_bits);
---
>                       ssl_version, SSL_CIPHER_get_name(ssl_cipher), ssl_bits);

# diff update/sslapp.c bsdftpd-ssl-1.1.0/ssl/
137,138c137
<     /* SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL); */
<     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
---
>     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL);

# diff update/util.c bsdftpd-ssl-1.1.0/ftp/
1002c1002
<                           SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher),
---
>                           ssl_version, SSL_CIPHER_get_name(ssl_cipher),

sslapp.c で意図的に無効化することで挙動の確認を取りました。まずは TLSv1 を無効化して、SSLv2, SSLv3 が有効化されている状態です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_TLSv1);

# /var/log/xferlog

Dec 23 09:47:40 hs ftpd[47022]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, SSLv3, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[SSLv3, cipher AES256-SHA, 256 bits]

次に、本来の措置 SSLv2, SSLv3 を無効化した場合です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3)

# /var/log/xferlog

Dec 23 09:54:52 hs ftpd[6198]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, TLSv1, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[TLSv1, cipher AES256-SHA, 256 bits]

Random Select

hamburger with fries
ここ数年頻繁に感じますが、私が在籍していた 20 年程前と比べると明らかにサービス品質が落ちてきたと感じます。あくまでも私の所感ですし、すべての店舗に当てはまるとは思えません (思いたくありません)
41B0208 (3)
Drive Network Rack Gallery 2012 (Part 2) です。hp DL360 G5 モデルの背面です。オレンジ色のケーブルは Fibre Channel 用の光ケーブルで、
らーめん 並 (きゃべつ) + トッピング (ほうれん草増) + ぎょうざ
横浜らーめん武蔵家 (きゃべつ + もやし) の続きです。写真は 12/08 の自宅近所の東綾瀬公園 (景色 (東綾瀬公園)) です。12 月に入ってもまだ銀杏の紅葉が多く見られますが、この後 4 日
FreeBSD Logo
sendmail 送信元 IP アドレス自動切替え (Part 1) の続きです。プログラム概要は以下の通りです。現在の送信元 IP アドレスと IP アドレスプールを取得。ブラックリストデータベース
エクストラコールド
今年も エクストラコールド BAR が例年通りの場所で開催されていました。普段銀座に立ち寄る場所のすぐそばでもあります。この頃は平日は 17:00 からの開店と、外観も含めて例年通りでしたがふと気が付
2013/01/14 12:13 羽田空港
沖縄出張 (No. 13 ? 欠航 Part 1) の続きです。保安検査場最近 ANA の保安検査場は C, D も拡張されたと記憶しています。A, B より明らかに空いているので、例え搭乗口が 50
三鷹の森ジブリ美術館 (4)
三鷹の森ジブリ美術館 は 10 年程前に一度訪れていますが、今回連休中に再び訪れる機会がありました。まずは JR 三鷹駅まで電車の旅で、南口に降りるとコミュニティバスがあると聞いていました。てっきり無
FreeBSD Logo
Disable SSLv3 (bsdftpd-ssl) に続いて、POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回
濃厚豚崩しつけ麺 + 大盛り (1)
去年の 8 月以来久しぶりに、いつも行列の出来る めん徳二代目つじ田 を訪れました。事前にホームページを見て、メニューが変わっていることに気がついたためです。以前は、つけめん (880 円), 二代目
WS-C2960S-48TS-L (1)
Drive Network Rack Gallery 2012 (Part 3) です。ラック正面の俯瞰です。コールドアイルと呼ばれる通路で、下の金網から冷気が吹き出し、ラック正面から機器が吸い込み背
Valid HTML5 Valid CSS3 Another HTML Lint