私たちが実施した侵入テストの修復作業を行っています。
侵入テストでは、SSv3 が有効になっていることによる POODLE の脆弱性が報告されています。
ただし、httpd.conf の VirtualHost 定義には次の内容が含まれています。
<VirtualHost *:443>
ServerAdmin [email protected]
ServerName myhost.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
明らかに、上記の SSLProtocol 行には -SSLv3 があり、私が読んだすべての情報によると、SSLv3 を無効にすれば POODLE 攻撃の対象にはならないとのことです。
しかし、Qualys オンライン SSL テスターと「ssl-poodle」nmap スクリプトを試しましたが、どちらもまだ脆弱であることがわかりました。
ヘルプ?
ここで私が何を見逃したのか誰か説明できますか?
ありがとう!
更新: これは Oracle Linux 7.3、Apache/2.4.6 上で実行されています。
答え1
わかりました。ファイル内のすべての定義SSLProtocol
に正しいステートメントがありましたが、どうやら のデフォルト定義では必要なようです。VirtualHost
/etc/httpd/conf/httpd.conf
VirtualHost
/etc/httpd/conf.d/ssl.conf
ssl.conf に追加すると、動作するようになりました。