Ich arbeite an der Behebung einiger Penetrationstests, die wir durchgeführt haben.
Der Penetrationstest meldet eine POODLE-Schwachstelle aufgrund aktivierten SSv3.
In der VirtualHost-Definition meiner httpd.conf habe ich jedoch:
<VirtualHost *:443>
ServerAdmin [email protected]
ServerName myhost.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
Offensichtlich habe ich -SSLv3 in der obigen SSLProtocol-Zeile und alles, was ich gelesen habe, besagt, dass ich nicht dem POODLE-Angriff ausgesetzt bin, wenn ich SSLv3 deaktiviere.
Aber ich habe den Online-SSL-Tester von Qualys und ein „SSL-Poodle“-NMAP-Skript ausprobiert und beide zeigen mir, dass ich immer noch anfällig bin.
Helfen?
Kann mir jemand erklären, was ich hier übersehen habe?
Danke!
Update: Dies ist auf Oracle Linux 7.3, mit Apache/2.4.6
Antwort1
Ok, ich habe es herausgefunden. Obwohl ich in jeder Definition in meiner Datei die richtige SSLProtocol
Anweisung hatte , ist sie in der Standarddefinition in anscheinend erforderlich .VirtualHost
/etc/httpd/conf/httpd.conf
VirtualHost
/etc/httpd/conf.d/ssl.conf
Nachdem ich es zu ssl.conf hinzugefügt hatte, funktionierte es.