Я работаю над исправлением некоторых тестов на проникновение, которые мы провели.

Тест на проникновение сообщает об уязвимости POODLE из-за включения SSv3.

Тем не менее, в определении VirtualHost моего httpd.conf, я имею:

<VirtualHost *:443>
     ServerAdmin mbobak@nitssolutions.com
     ServerName myhost.com
     SSLEngine On
     SSLProtocol all -SSLv2 -SSLv3
     SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
     SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
     SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
     RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
     RewriteEngine On
     RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
     RewriteRule .* - [F]
</VirtualHost>

Ясно, что у меня есть -SSLv3 в строке SSLProtocol выше, и все, что я прочитал, говорит о том, что если я отключу SSLv3, я не буду подвергаться атаке POODLE.

Но я попробовал онлайн-тестер SSL Qualys и скрипт nmap 'ssl-poodle', оба из которых говорят мне, что я все еще уязвим.

Помогите?

Кто-нибудь может объяснить, что я здесь пропустил?

Спасибо!

Обновление: это на Oracle Linux 7.3, с Apache/2.4.6

|источник

1 ответ1

0

Хорошо, я понял это. Хотя в каждом определении SSLProtocol в моем файле VirtualHost был правильный оператор /etc/httpd/conf/httpd.conf , он, по-видимому, требуется в определении VirtualHost по умолчанию в /etc/httpd/conf.d/ssl.conf .

Как только я добавил его в ssl.conf, он начал работать.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .