저는 우리가 수행한 일부 침투 테스트를 해결하기 위해 노력하고 있습니다.
침투 테스트에서는 SSv3 활성화로 인한 POODLE 취약점을 보고합니다.
그러나 내 httpd.conf의 VirtualHost 정의에는 다음이 있습니다.
<VirtualHost *:443>
ServerAdmin [email protected]
ServerName myhost.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
분명히 위의 SSLProtocol 줄에 -SSLv3이 있고, 내가 읽은 모든 내용에 따르면 SSLv3을 비활성화하면 POODLE 공격을 받지 않을 것이라고 나와 있습니다.
하지만 Qualys 온라인 SSL 테스터와 'ssl-poodle' nmap 스크립트를 사용해 보았는데 둘 다 여전히 취약하다는 것을 알 수 있습니다.
돕다?
내가 여기서 놓친 부분을 설명할 수 있는 사람이 있나요?
감사해요!
업데이트: 이는 Apache/2.4.6이 포함된 Oracle Linux 7.3에 있습니다.
답변1
좋아, 알아냈어. 내 파일 의 SSLProtocol
모든 정의에 올바른 설명 이 있었지만 .VirtualHost
/etc/httpd/conf/httpd.conf
VirtualHost
/etc/httpd/conf.d/ssl.conf
ssl.conf에 추가하면 작동이 시작됩니다.