Home » FreeBSD » Disable SSLv3 (bsdftpd-ssl) (Tag: )

Disable SSLv3 (bsdftpd-ssl)

2014/12/23 20:48

POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために、SSL 3.0 の無効化が推奨されました。

apache, sendmail 等メジャーなプログラムはその方法が多く掲載されていますが、マイナーな FTP サーバプログラム bsdftpd-ssl 1.1.0 における無効化の方法を記載します。

調べた限りでは、apache, sendmail 等と異なり設定ファイルでの調整では無効化出来ませんでした。そのため、ソースファイルを修正して再度コンパイルします。

ポイントは sslapp.c で SSL 2.0, 3.0 の無効を明言することです。

ログファイルや ftps コマンドでのプロンプトでは、SSLv3, TLSv1 どちらのバージョンでも TLSv1/SSLv3 と表記されるため、ftpd.c, util.c の修正により明示することが可能です。

# diff update/ftpd.c bsdftpd-ssl-1.1.0/ftpd/
4773c4773
<                       SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher), ssl_bits);
---
>                       ssl_version, SSL_CIPHER_get_name(ssl_cipher), ssl_bits);

# diff update/sslapp.c bsdftpd-ssl-1.1.0/ssl/
137,138c137
<     /* SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL); */
<     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
---
>     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL);

# diff update/util.c bsdftpd-ssl-1.1.0/ftp/
1002c1002
<                           SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher),
---
>                           ssl_version, SSL_CIPHER_get_name(ssl_cipher),

sslapp.c で意図的に無効化することで挙動の確認を取りました。まずは TLSv1 を無効化して、SSLv2, SSLv3 が有効化されている状態です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_TLSv1);

# /var/log/xferlog

Dec 23 09:47:40 hs ftpd[47022]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, SSLv3, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[SSLv3, cipher AES256-SHA, 256 bits]

次に、本来の措置 SSLv2, SSLv3 を無効化した場合です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3)

# /var/log/xferlog

Dec 23 09:54:52 hs ftpd[6198]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, TLSv1, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[TLSv1, cipher AES256-SHA, 256 bits]

Random Select

タコライス + オニオンリング
沖縄本島 (No. 18 – mati-cafe 京の抹茶パフェ) の続きです。沖縄本島 (No. 14 – キングタコス 長田店) は数年ぶりに訪れましたが、タコス屋 新都心
VAIO Fit 13A (背面)
VAIO Fit 13A (到着) 後のカスタマイズで、Windows 8.1 Pro 付属のツール "ペイント" の動作に違和感を感じました。Alt + Print Screen
スペアリブ
カレー難民を卒業出来るかもしれない 欧風カレー ボンディ と出会って、実は数店舗あることを後から知りました。訪れた店舗は 神田小川町店 でした。さらに、神田小川町店限定のメニューがある様ですので、興奮
ぶっかけ (冷)
実は 1 人で食べに行って、自分のお金でうどんを食べることは今までありませんでした。小さい頃のトラウマなのでしょうか、どうもうどんが好きになれず、断然そば派。つけ麺もうどんの面影があるので挑戦に二の足
Firefox Logo
明け方散歩から帰って来て、開きっぱなしの facebook (Windows PC, Firefox) の見映えが変わっていました。等幅フォントに変わったというか、ビットマップフォントが無理矢理伸び縮
ゆし豆腐そば
うちなぁ料理と古酒家 ニライカナイ (沖縄ちゃんぽん) で沖縄ちゃんぽんデビューした後、すばやのメニューにも沖縄ちゃんぽんがあることを思い出しました。こちらにははっきりと "野菜とコンビーフ
ソーキそばセット
うちなぁ料理と古酒家 ニライカナイ (やさいそばセット) から 2 日と空けずに再訪しました。今回も過去 2 回同様 13:30 頃に訪れましたが、今日はほぼ満席でした。雨上がりでしたので、普段程には
Office Desk
この手の手続きは、何かきっかけがないと (きっかけがあっても) 腰が重いクセが抜けません。現在地には 2006/09 に転入しましたが、この時は住民票のみ移して、戸籍謄本や印鑑証明の処理はしませんでし
猫丸庵 メニュー (2)
沖縄本島 (No. 51 – コッコロコハウス) の続きです。約 1 年半前に沖縄入りした際、沖縄本島 (No. 1 – 猫丸庵 〜 根夢) で通り過ぎることはありましたが、今
冷やかけ わかめ (丸天)
2 ヶ月程前に久しぶりに うどん 丸香 (まるか) に行って以来、何度か通っています。ようやく美味しさが分かってきた気がします。つゆも麺も、やっぱり他と食べ比べると違いますね。温かいうどんはまだ食べた
Valid HTML5 Valid CSS3 Another HTML Lint