Home » FreeBSD » Disable SSLv3 (bsdftpd-ssl) (Tag: )

Disable SSLv3 (bsdftpd-ssl)

2014/12/23 20:48

POODLE (Padding Oracle On Downgraded Legacy Encryption) と呼ばれる攻撃方法を回避するために、SSL 3.0 の無効化が推奨されました。

apache, sendmail 等メジャーなプログラムはその方法が多く掲載されていますが、マイナーな FTP サーバプログラム bsdftpd-ssl 1.1.0 における無効化の方法を記載します。

調べた限りでは、apache, sendmail 等と異なり設定ファイルでの調整では無効化出来ませんでした。そのため、ソースファイルを修正して再度コンパイルします。

ポイントは sslapp.c で SSL 2.0, 3.0 の無効を明言することです。

ログファイルや ftps コマンドでのプロンプトでは、SSLv3, TLSv1 どちらのバージョンでも TLSv1/SSLv3 と表記されるため、ftpd.c, util.c の修正により明示することが可能です。

# diff update/ftpd.c bsdftpd-ssl-1.1.0/ftpd/
4773c4773
<                       SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher), ssl_bits);
---
>                       ssl_version, SSL_CIPHER_get_name(ssl_cipher), ssl_bits);

# diff update/sslapp.c bsdftpd-ssl-1.1.0/ssl/
137,138c137
<     /* SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL); */
<     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3);
---
>     SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL);

# diff update/util.c bsdftpd-ssl-1.1.0/ftp/
1002c1002
<                           SSL_get_version(ssl_con), SSL_CIPHER_get_name(ssl_cipher),
---
>                           ssl_version, SSL_CIPHER_get_name(ssl_cipher),

sslapp.c で意図的に無効化することで挙動の確認を取りました。まずは TLSv1 を無効化して、SSLv2, SSLv3 が有効化されている状態です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_TLSv1);

# /var/log/xferlog

Dec 23 09:47:40 hs ftpd[47022]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, SSLv3, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[SSLv3, cipher AES256-SHA, 256 bits]

次に、本来の措置 SSLv2, SSLv3 を無効化した場合です。

SSL_CTX_set_options(ssl_ctx, SSL_OP_ALL | SSL_OP_NO_SSLv2 | SSL_OP_NO_SSLv3)

# /var/log/xferlog

Dec 23 09:54:52 hs ftpd[6198]: TLS/SSL SUCCEEDED WITH hs (FTP-TLS, TLSv1, cipher AES256-SHA, 256 bits)

# ftps

Connected to hs.drive.ne.jp.
220 Drive Network FTP Server Ready
Name (hs:adn):
234 AUTH TLS command successful.
[TLSv1, cipher AES256-SHA, 256 bits]

Random Select

ビーフカレー・チキンカレー・魚介ミックスカレー
先日 11/02 – 11/04 の連休に沖縄の友達が東京旅行に来ていて、11/03 は案内も兼ねて同行させてくれました。普段は沖縄で会っていますが、私にとっては慣れ過ぎた JR 御茶ノ水
Drive Network Philosophy
迷惑メールが蔓延してかなりの時が過ぎた様に感じます。Drive Network で メールフィルタ 機能の提供を開始するにあたり、課金体系や内部エンジンの選定には時間と力を注ぎました。アンチウイルス特
やさいそば (大) + じゅうしぃ
古宇利島 (No. 1 – 古宇利大橋 〜 ハートロック) の続きです。翌日 09/21 (日) は再び 3 人での観光です。当初 09/21 に計画していた予定を 09/20 に前倒した
2014/10/10 払い戻し (2)
09/19 – 09/24 はプライベートでは長期滞在に入る沖縄旅行でした。その回とは別に、去年 10 月に伊江島を訪れて 沖縄本島 (No. 6 – 打ち上げ) したメンバー
My Select (2013/07/14)
Season 1 (2012/10/04 – 2012/10/20) 同様、今回も本筋の業務前に別件が続いてやや長めの出張です。07/11 – 07/15 までは久しぶりに以前
玄米 + くめ納豆 秘伝金印
カミングアウトバラエティ 秘密のケンミン SHOW を沖縄特集で初めて知り、その後も YouTube で面白そうな回をダウンロードして見ています。2014/02/13 の茨城特集は大好きですが、その中
タコライス 材料 (OLD EL PASO タコ・シーズニング)
自宅 de タコライス (OLD EL PASO タコ・シーズニング Part 1) の続きです。OLD EL PASO タコ・シーズニング はまだ 1 袋残っています。今回の必須アイテムであるチェダ
スミノフ フローズン シトラスダイキリ (3)
駅前のスーパーで、ある日 "スミノフ フローズン シトラスダイキリ" を見つけました。"スミノフ® フローズン シトラスダイキリ / ピニャコラーダ"
radserv ope 25
今回はメモリが 4GB (2GB x 2) で納品された機器 radserv XG1+ (Q9000) を、8GB (4GB x 2) に構成変更しました。本体背面の銀色のネジ 2 本を外し、本体上の
うまい ! がすごい。クリーミー生サーバー (4)
うまい ! がすごい。クリーミー生サーバー (Part 1) の続きです。1 度にシール 6 枚分まで登録出来るので、コツコツ続けていると、テストで満点という訳ではありませんが、何だかいい気分♪82
Valid HTML5 Valid CSS3 Another HTML Lint