Home » FreeBSD » Disable SSLv3 (bsdftpd-ssl) (Tag: )

Disable SSLv3 (bsdftpd-ssl)

2014/12/23 20:48

POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために、SSL 3.0 の無効化が推奨されました。

apache, sendmail 等メジャーなプログラムはその方法が多く掲載されていますが、マイナーな FTP サーバプログラム bsdftpd-ssl 1.1.0 における無効化の方法を記載します。

調べた限りでは、apache, sendmail 等と異なり設定ファイルでの調整では無効化出来ませんでした。そのため、ソースファイルを修正して再度コンパイルします。

ポイントは sslapp.c で SSL 2.0, 3.0 の無効を明言することです。

ログファイルや ftps コマンドでのプロンプトでは、SSLv3, TLSv1 どちらのバージョンでも TLSv1/SSLv3 と表記されるため、ftpd.c, util.c の修正により明示することが可能です。

# diff update/ftpd.c bsdftpd-ssl-1.1.0/ftpd/
4773c4773
<                       SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher), ssl_bits);
---
>                       ssl_version, SSL_CIPHER_get_name(ssl_cipher), ssl_bits);

# diff update/sslapp.c bsdftpd-ssl-1.1.0/ssl/
137,138c137
<     /* SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL); */
<     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
---
>     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL);

# diff update/util.c bsdftpd-ssl-1.1.0/ftp/
1002c1002
<                           SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher),
---
>                           ssl_version, SSL_CIPHER_get_name(ssl_cipher),

sslapp.c で意図的に無効化することで挙動の確認を取りました。まずは TLSv1 を無効化して、SSLv2, SSLv3 が有効化されている状態です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_TLSv1);

# /var/log/xferlog

Dec 23 09:47:40 hs ftpd[47022]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, SSLv3, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[SSLv3, cipher AES256-SHA, 256 bits]

次に、本来の措置 SSLv2, SSLv3 を無効化した場合です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3)

# /var/log/xferlog

Dec 23 09:54:52 hs ftpd[6198]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, TLSv1, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[TLSv1, cipher AES256-SHA, 256 bits]

Random Select

Herb
Why rose ? で紹介した Herb とは意味合いが違いますが、先月社内横断プロジェクト Herb を決起しました。社内に限らず、自分の過去在籍した会社でも同様でしたし、また現在お付き合いのある
カレーライス 材料 (ハウス ザ・カリー )
ハッシュ・ド・ビーフ はルーを使わない本格的なレシピで何度も作っていますが、カレーは食べる専門で自宅で作ることは滅多にありませんでした。カレーはあまりにも奥が深くて二の足を踏んでいたことも事実ですが、
チキンカレー (ルー大盛り, 辛さ 50 倍)
カリーライス専門店 エチオピア 本店 (No. 8 – 辛さ 20 – 40 倍) 以来辛さ 20 倍程度のカレーに落ち着いていましたが、暑い最中、久しぶりにガツーンと辛さ 5
猫喫茶 毛玉
沖縄にも増え続ける猫カフェで、飼い猫も同伴出来る 毛玉 に着きました。来店は 2 回目です。コーヒーゼリーがお勧めと K 君から聞きましたが、本日は売り切れとのこと。プリンにしてみましたが、これ、美味
VBoxManage list hdds
自宅や出張時に使用しているノート PC (hp dv5 has broken again) はホスト OS を Windows 7, ゲスト OS に FreeBSD をインストールしています。今回
WS-C2960S-48TS-L (1)
Drive Network Rack Gallery 2012 (Part 3) です。ラック正面の俯瞰です。コールドアイルと呼ばれる通路で、下の金網から冷気が吹き出し、ラック正面から機器が吸い込み背
唐揚げはて
与那国島 (No. 13 – 雑貨さくら) の続きです。1 日目と違い大人しい観光コースで終わりましたが、夕方ともなれば居酒屋タイムです。今晩は、昨日 居処屋どぅーらい と迷って 2 日目
牛赤身ひき肉 (9)
自宅 de タコライス (S&B タコスシーズニング Part 1) の続きです。タコスミートS&B タコスシーズニング は 1 パックに 2 袋入りで、1 袋 (8g) をひき肉 1
2013/01/14 11:36 品川
通常沖縄出張の際は、沖縄の Drive Network のスタッフとは普段顔を合わせることが少ないため、顔を合わせた時ならではにミーティングや意識合わせを頻繁に行います。今回の出張は当初予定していませ
hp dv5
メーカー保証に見放されながらも hp dv5 revival で見事に復旧したので、せっかくですから Windows 8.1 がインストール出来るか検証してみることにしました。Windows Vist
Valid HTML5 Valid CSS3 Another HTML Lint