CentOS5/6 の dovecot のPOODLE 攻撃の対処

スポンサーリンク

SSLv3 に関する脆弱性(POODLE 攻撃)に対する対応で、下記記事時点では CentOS5/6 の dovecot では SSLv3 を無効にすることは出来ませんでした。
その後、今年頭になって対応版の dovecot がリリースされていましたので、設定を説明します。

SSLv3 に関する脆弱性(POODLE 攻撃)への対処 パソコン鳥のブログ

なお、このdovecot のPOODLE 攻撃の対処パッケージですが、セキュリティ更新では無く、バグFIXという扱いなので、下記で紹介したセキュリティに関するパッケージの更新では更新されません。

CentOS6 でセキュリティに関するパッケージの更新のみ行う パソコン鳥のブログ

下記で dovecot を更新する必要があります。

apt-get update dovecot

dovecot の設定を修正します。

/etc/dovecot/conf.d/10-ssl.conf

ssl_protocols = !SSLv2 !SSLv3

設定を反映させます。

/etc/init.d/dovecot reload

問題が無いか、次のページで確認してみます。

SSLチェック【証明書・プロトコル・暗号スイート確認】

ホスト名(FQDN)に dovecot の設定をしたサーバのホスト名、簡易選択で 995ポート(POP3S) を選択し、プロトコル使用可否チェックを行う にチェックを入れて実行します。

実行結果の<プロトコル接続可否>で、SSLv2、SSLv3 が × になっていればOKです。

画像

参考

CentOS6 dovecot-2.0.9 poodle対策バージョン | ネットワークエンジニアの居酒屋
Red Hat Customer Portal

コメント

タイトルとURLをコピーしました