Estoy trabajando en la corrección de algunas pruebas de penetración que habíamos realizado.
La prueba de penetración informa una vulnerabilidad POODLE debido a que SSv3 está habilitado.
Sin embargo, en la definición de VirtualHost de mi httpd.conf, tengo:
<VirtualHost *:443>
ServerAdmin [email protected]
ServerName myhost.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
Claramente, tengo -SSLv3 en la línea SSLProtocol de arriba, y todo lo que he leído dice que si desactivo SSLv3, no estaré sujeto al ataque POODLE.
Pero probé el probador SSL en línea Qualys y un script nmap 'ssl-poodle', los cuales me dicen que todavía soy vulnerable.
¿Ayuda?
¿Alguien puede explicar lo que me he perdido aquí?
¡Gracias!
Actualización: esto está en Oracle Linux 7.3, con Apache/2.4.6
Respuesta1
Ok, me di cuenta de esto. Aunque tenía la SSLProtocol
declaración correcta en cada VirtualHost
definición de mi /etc/httpd/conf/httpd.conf
archivo, aparentemente es necesaria en la VirtualHost
definición predeterminada en /etc/httpd/conf.d/ssl.conf
.
Una vez que lo agregué a ssl.conf, comenzó a funcionar.