Estou trabalhando na correção de alguns testes de penetração que fizemos.
O teste de penetração relata uma vulnerabilidade POODLE devido à ativação do SSv3.
No entanto, na definição VirtualHost do meu httpd.conf, tenho:
<VirtualHost *:443>
ServerAdmin [email protected]
ServerName myhost.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
Claramente, tenho -SSLv3 na linha SSLProtocol acima, e tudo que li diz que se eu desabilitar o SSLv3, não estarei sujeito ao ataque POODLE.
Mas eu tentei o testador SSL online Qualys e um script nmap 'ssl-poodle', os quais me dizem que ainda estou vulnerável.
Ajuda?
Alguém pode explicar o que perdi aqui?
Obrigado!
Atualização: Isto está no Oracle Linux 7.3, com Apache/2.4.6
Responder1
Ok, eu descobri isso. Embora eu tivesse a instrução correta SSLProtocol
em todas VirtualHost
as definições do meu /etc/httpd/conf/httpd.conf
arquivo, aparentemente ela é obrigatória na VirtualHost
definição padrão em /etc/httpd/conf.d/ssl.conf
.
Depois de adicioná-lo ao ssl.conf, ele começou a funcionar.