Logjam

風邪ひいてだるいのにtlsに新たな脆弱性が見つかった。

TLSに新たな脆弱性「Logjam」、多数のサーバーや主要ブラウザーに影響 

今回はブラウザとサーバー両方に影響がある。自分のブラウザが影響うけるかどうか判定するサイトは下記で確認。

Weak Diffie-Hellman and the Logjam Attack
Weak Diffie-Hellman and the Logjam Attack

俺はFirefoxとIE使ってるけど、IEは問題なしFireFoxは影響をうける。

ブラウザの方はいずれアップデータがくるみたいなのでバージョンアップすればいい。

さて、サーバーの方は下記で確認ができる。

KeyCDN - TLS Logjam Tester - DHE_EXPORT Checker - CVE-2015-4000
Logjam test - Is your webserver attackable? TLS vulnerability check against the Logjam attack.

上で調べてみると

Safe! The domain www.superweibu.com:443 is not vulnerable to TLS Logjam attacks. Share via

しかし、

Logjam: PFS Deployment Guide
Logjam: PFS Deployment Guide

で調べるとWarning! This site uses a commonly-shared 1024-bit Diffie-Hellman group, and might be in range of being broken by a nation-state. It might be a good idea to generate a unique, 2048-bit group for the site.

なんじゃこれ?????

さらに調べてみると攻撃自体はdhe_exportを無効化すれば問題ないが

2048bitのキーの長さにしないと警告がでるみたいです。

警告が出る理由は国レベルの専門機関だと解読されるために2048bitにしなさいといういみみたい。

2048bit対策方法が下記が載っていたのでやってみた。

How to protect your Debian or Ubuntu Server against the Logjam attack
This tutorial describes the steps that need to be taken to protect your Ubuntu or Debian Linux Server against the recently detected Logjam attack. Log...
Logjam: PFS Deployment Guide
Logjam: PFS Deployment Guide

再度挑戦すると

Good News! This site uses strong (2048-bit or better) key exchange parameters and is safe from the Logjam attack.

さらに会社のサーバーでやってみようとしたのだが、apache2.4.8以上のopenssl1.0.2以上が条件らしくCentOS5.6.7はデフォルトのままでは無理でしょうね。

Trying to mitigate Logjam on Apache 2.2.16
I am trying to follow the instructions located here to mitigate for the logjam vulnerability, however I keep getting the following error from appache: Syntax e...

このまま1024bitで運用するしかないのでしょう。

やっぱりこういう所で会社のサーバーと俺のサーバーの差がでますよね。

最新のサーバーは俺の真似て正解です。

参考サイト

Logjam Attackについてまとめてみた - piyolog
Diffie-Hellman(DH)鍵交換の脆弱性を使ったTLSプロトコルに対する攻撃「Logjam Attack」に関する情報を..