SSL 3.0 の脆弱性 CVE-2014-3566 (通称 POODLE) について

先日、SSL3.0に深刻な脆弱性(CVE-2014-3566)が発見され、公表されました。この脆弱性は、通称 POODLE と呼ばれています。
攻撃者は、この脆弱性を悪用してパスワード、cookie、ウェブサイト上のユーザーのプライベートアカウントデータなどの機密情報を盗むことができます。
Webサーバが TLS のより新しいバージョンをサポートしている場合でも、SSL3.0も同時にサポートしている場合 POODLE に対して脆弱です。
もし、網元AMIで運用しているサイトでSSLを使用している場合は、ただちにSSL3.0サポートを無効にすることをお勧めします。

網元AMI セルフマネージドをご利用のお客様

網元AMIでは、初期起動時にはSSLが無効になっているため、この脆弱性に対する影響を受けません。
ただし、ご自身でSSLを有効にした場合は、nginx の設定ファイル中の ssl_protocols ディレクティブの設定を見直す必要が有ります。
ssl_protocols ディレクティブが設定されていない場合のデフォルト値は SSLv3 TLSv1 TLSv1.1 TLSv1.2 となっており、SSL3.0をサポートします。
以下のように明示的に SSL3.0 をサポートしないように設定し直してください。

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

Module ngx_http_ssl_module

網元AMI マネージドホスティングをご利用のお客様

網元AMIマネージドホスティングでは、SSLオプションを提供しています。
またSSLオプション提供前にカスタムプランとしてSSL設定を行っているお客様もおられますが、それらのお客様が対象となります。

網元AMIマネージドホスティングの全サーバでは、すでに SSL3.0 のサポートを無効にするように設定してありますので、この脆弱性の影響はありません。