Home » FreeBSD » Disable SSLv3 (bsdftpd-ssl) (Tag: )

Disable SSLv3 (bsdftpd-ssl)

2014/12/23 20:48

POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために、SSL 3.0 の無効化が推奨されました。

apache, sendmail 等メジャーなプログラムはその方法が多く掲載されていますが、マイナーな FTP サーバプログラム bsdftpd-ssl 1.1.0 における無効化の方法を記載します。

調べた限りでは、apache, sendmail 等と異なり設定ファイルでの調整では無効化出来ませんでした。そのため、ソースファイルを修正して再度コンパイルします。

ポイントは sslapp.c で SSL 2.0, 3.0 の無効を明言することです。

ログファイルや ftps コマンドでのプロンプトでは、SSLv3, TLSv1 どちらのバージョンでも TLSv1/SSLv3 と表記されるため、ftpd.c, util.c の修正により明示することが可能です。

# diff update/ftpd.c bsdftpd-ssl-1.1.0/ftpd/
4773c4773
<                       SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher), ssl_bits);
---
>                       ssl_version, SSL_CIPHER_get_name(ssl_cipher), ssl_bits);

# diff update/sslapp.c bsdftpd-ssl-1.1.0/ssl/
137,138c137
<     /* SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL); */
<     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
---
>     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL);

# diff update/util.c bsdftpd-ssl-1.1.0/ftp/
1002c1002
<                           SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher),
---
>                           ssl_version, SSL_CIPHER_get_name(ssl_cipher),

sslapp.c で意図的に無効化することで挙動の確認を取りました。まずは TLSv1 を無効化して、SSLv2, SSLv3 が有効化されている状態です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_TLSv1);

# /var/log/xferlog

Dec 23 09:47:40 hs ftpd[47022]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, SSLv3, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[SSLv3, cipher AES256-SHA, 256 bits]

次に、本来の措置 SSLv2, SSLv3 を無効化した場合です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3)

# /var/log/xferlog

Dec 23 09:54:52 hs ftpd[6198]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, TLSv1, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[TLSv1, cipher AES256-SHA, 256 bits]

Random Select

Drive Network Core (WS-C3750E-48TD-E)
Cisco Catalyst 3750X HSRP Active/Active で経路広報を切り替える前に、切替先で一時的に作成した Interface Vlan があり、切替完了後に削除する予定でし
カツカレー
"3500 円のカレー" で賑やかな世間を尻目に、庶民のカレーを食べに行きました。有名な キッチン南海 の神保町店です。小川町のオフィスそばにもありますが、本当かどうかは別にして店
ARROWS X F-10D
ARROWS X F-10D (No. 3) の続きです。電源が入らなくなりました使い始めて 8 ヶ月程で数回腰程の高さから落としてしまったことがあります。リアカバー (裏フタ) までパカッと開いてお
松藤 限定古酒 43 度 (3)
沖縄本島 (No. 6 – 打ち上げ) で衝撃を受けた 松藤【限定古酒】43 度 を、東京に戻ってからも飲んでみようと考えていたところ、今も同僚でもある打ち上げのメンバーからプレゼントして
雑貨さくら (5)
与那国島 (No. 13 – 雑貨さくら) が 2013/08/24 – 2013/08/28 の期間限定で東京に出店すると知り、楽しみにしていました。始めの方はきっと混雑もす
季節の京のお昼ごはん
そろそろ次回の沖縄出張が近づいてきました。以前訪れて掲載していないお店のうち、沖縄支店から徒歩でも行ける距離に mati-cafe (マティカフェ) という、一見カフェに見えるけどランチも良い感じのお
神田カレーグランプリ 2013 (2)
欧風カレー ボンディ (神保町本店) を後にし、東京名物神田古本まつり 開催の一部でもある神田すずらん通り商店街をゆったり散歩しつつ 神田カレーグランプリ の開催場所まで移動しました。まるで神田カレー
肉カレーうどん (大盛)
記事の投稿は 1 年以上空きましたが、その後も定期的に通っています。いつもたいてい 14 時を過ぎたあたりに訪れますが、やや早く着いてしまうともう 14 時前だというのにこの行列。この日は 30 人近
伊江島 (11)
伊江島 (No. 4 – 湧出 〜 島の駅) の続きです。島の駅から戻って伊江港ターミナルにつくと、もう車を搬入するにはちょうど良い時間でした。乗船まではまだ少し時間がありそうでしたので、
瀬底ビーチ (伊江島)
07/14 (日) は、すでに 2 ヶ月近く前から計画していた北部ドライブでした。本島から行ける離島でも伊江島は行ってみたい島 No. 1 でしたし、いつか行こうと構想して早 2 年程。ようやくその機
Valid HTML5 Valid CSS3 Another HTML Lint