nmap
コマンドを利用してSSL3.0が抱えているPOODLEの脆弱性を対象ホストがかかえているのかどうかをチェックします。
nmap の準備
nmap
を利用しますので使えない場合はインストールしましょう(Macなら以下のような感じとか)
brew install nmap
実行するコマンド
以下を実行します
nmap -sV --version-light --script ssl-poodle -p 443 {host名}
{host名}部分はチェック対象のホストに合わせて変更してください
実行結果
脆弱性があるパターン
POODLEの脆弱性がある対象に実行した場合の例は以下の通りです (一部ホスト名やアドレスは伏せています)
$ nmap -sV --version-light --script ssl-poodle -p 443 xxx.dummy-server.xxx Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-21 20:04 JST Nmap scan report for xxx.dummy-server.xxx (9x.2xxx.2xx.2xx) Host is up (0.048s latency). PORT STATE SERVICE VERSION 443/tcp open ssl/ssl Apache httpd (SSL-only mode) | ssl-poodle: | VULNERABLE: | SSL POODLE information leak | State: LIKELY VULNERABLE | IDs: CVE:CVE-2014-3566 OSVDB:113251 | The SSL protocol 3.0, as used in OpenSSL through 1.0.1i and other | products, uses nondeterministic CBC padding, which makes it easier | for man-in-the-middle attackers to obtain cleartext data via a | padding-oracle attack, aka the "POODLE" issue. | Disclosure date: 2014-10-14 | Check results: | TLS_RSA_WITH_AES_128_CBC_SHA | TLS_FALLBACK_SCSV properly implemented | References: | http://osvdb.org/113251 | https://www.imperialviolet.org/2014/10/14/poodle.html | https://www.openssl.org/~bodo/ssl-poodle.pdf |_ https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-3566 Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 13.31 seconds
脆弱性が無いパターン
POODLEの脆弱性が無い対象に実行した場合の例は以下の通りです (一部ホスト名やアドレスは伏せています)
$ nmap -sV --version-light --script ssl-poodle -p 443 xxx.dummy-server.com Starting Nmap 7.70 ( https://nmap.org ) at 2018-07-21 20:08 JST Nmap scan report for xxx.dummy-server.com (3xx.2xx.2xx.2xx) Host is up (0.023s latency). PORT STATE SERVICE VERSION 443/tcp open ssl/http Apache httpd Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.87 seconds
結論
nmapに頼らずともSSLv3が有効かどうかは、モロバレです。
とりあえず、さっさとSSLv3は無効化しておくのが良いでしょう。