SSLv3 にまつわる CVE-2014-3566 ( POODLE ) まわり

IE6 はデフォルトで ( SSLv2 もかな？ ) SSLv3 を使う設定になっており、TLSv1 にはチェックが入ってないはずなので、SSLv3 を無効化したサーバ、もしくは

• Ruby 2.1.4
• Ruby 2.0.0-p594
• Ruby 1.9.3-p550

以降のバージョンを利用する場合、直接 https で通信するサーバは明示的に回避策を仕込まない限り、デフォルト設定の IE6 環境からアクセスできなくなる。
どうしても通信したければ、パッチを仕込んで回避するか Pound のようなリバースプロキシで SSL を受けてやって、サーバ内部の通信は http で実施するとかにしたほうがいいやもしれぬがそれは結局いみなくね？要検証。
参考：ext/openssl のデフォルト設定の変更について

ちなみに

SSLv3 が有効化されている Ruby のメジャーリリースのバージョン最終形は以下だと思います。

• Ruby 2.1.3
• Ruby 2.0.0-p576
• Ruby 1.9.3-p547

XML 展開時にデブいと死ぬ CVE-2014-8080 まわり

上記の CVE-2014-3566 対策をすると自動で追加される。というか多分こっち目当てでバージョンアップすると、ついでに POODLE 対策周りがあたってサービス運用から「おいユーザからアクセスできないって苦情きたぞ！IE6 だなんとかしろ！」とか展開して戦争になると思います。思います！（ガン切れ
サービスにダイレクトに影響出るので、こっちだけでもモンキーパッチ適用しちまうのがいいでしょう。
参考：CVE-2014-8080: REXML におけるXML展開に伴うサービス不能攻撃について

まとめ

IE6 切り捨てられたり、オプションから TLSv1 有効にできれば問題ないけど、所謂大手のくせに内部の業務システムのせいでハードウェアリブレースしないような所とお仕事してると、この辺りの問題に引っかかると思いまう。というか僕は今まさに引っかかってます！メンテナンス計画引き直しじゃねえかふざけんな！

　　_＿,､＿,､
　(　 ( ´･ω･｀)　必死に堪える豚にも限界はあるのよ
　｀u-｀u--u´

おまけ

なんかゲイツ君、SSL 3.0 を無効化する Fixit 出してくれてましたね。

この記事には直接関係ないけど、何か在った時自分で見返しそうなので次いでに書いておきます……書いておきたくない？

11/19追記

• Ruby-2.1.5
• Ruby-2.0.0-p598
• Ruby-1.9.3-p551

それぞれリリースされましたが、REXML による展開時にまーた問題が見つかったようですね。わざわざ公式で「これは前回の問題と似ていますが別の問題だし CVE にも登録されてるからおまえら更新しておけよ！」と告知する始末になってます……。うーんやっぱ、SSL 3.0 は捨てたほうが今後のアップデート楽だし皆捨てよう！
CVE-2014-8090: REXML における XML 展開に伴う新たなサービス不能攻撃について