Я работаю над устранением последствий проведенного нами тестирования на проникновение.
Тест на проникновение выявил уязвимость POODLE из-за включения SSv3.
Однако в определении VirtualHost моего httpd.conf есть:
<VirtualHost *:443>
ServerAdmin [email protected]
ServerName myhost.com
SSLEngine On
SSLProtocol all -SSLv2 -SSLv3
SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
RewriteEngine On
RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
RewriteRule .* - [F]
</VirtualHost>
Очевидно, у меня в строке SSLProtocol выше есть -SSLv3, и все, что я читал, говорит о том, что если я отключу SSLv3, я не буду подвержен атаке POODLE.
Но я попробовал онлайн-тестер SSL Qualys и скрипт nmap «ssl-poodle», и оба они говорят мне, что я все еще уязвим.
Помощь?
Кто-нибудь может объяснить, что я тут упустил?
Спасибо!
Обновление: это на Oracle Linux 7.3 с Apache/2.4.6
решение1
SSLProtocolЛадно, я разобрался с этим. Хотя у меня в каждом VirtualHostопределении в файле было правильное выражение /etc/httpd/conf/httpd.conf, оно, по-видимому, требуется в VirtualHostопределении по умолчанию в /etc/httpd/conf.d/ssl.conf.
Как только я добавил его в ssl.conf, все заработало.