Não é possível passar varreduras PCI para conformidade de vulnerabilidade SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS

4

Estou tentando passar uma varredura pci, estou no servidor Ubuntu 12.04 lts e Nginx. Eu tentei tudo o que sei e fiz muita pesquisa ... aparentemente parece que precisa desabilitar uma configuração no OpenSSL que não consigo encontrar como fazer.

Este é o resultado da verificação:

  

Vulnerabilidade de divulgação de informações de implementação de vetor de inicialização de protocolo SSL / TLS www (443 / tcp)

     

Pontuação do CVSS: média 4.3 - falha

     

CVE-2011-3389

e esta é a correção sugerida pela empresa de scanners pci:

  

Configure os servidores SSL / TLS para usar somente o TLS 1.1 ou o TLS 1.2, se suportado. Configurar servidores SSL / TLS para suportar apenas pacotes de criptografia que não usam cifras de bloco. Aplique patches se disponível.

     

O OpenSSL usa fragmentos vazios como uma contramedida, a menos que a opção 'SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS' seja especificada quando o OpenSSL for inicializado.

Eu não sei como fazer isso, eu tentei de tudo, por favor me ajude estou enlouquecendo:)

Como desabilito essa opção SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS ?

Nota: o tlsv1.1 e o tlsv1.2 não estão ativados no momento. Eu atualizei para as últimas versões de todos (Ubuntu 12.04 lts, nginx1.2.7 e openSSL 1.0.1). Eu li que as versões mais recentes cuidam do problema (o padrão não é suportado por padrão). Mas estou recebendo o mesmo relatório exato da verificação.

Veja abaixo a configuração do meu servidor web, eu fiz tudo o que tinha com cifras, ainda obtendo o mesmo resultado:

server {

    listen 192.xxx.xx.xx:443 ssl;

      server_name mydomain.org alias *.mydomain.org;

    keepalive_timeout   70;

    # ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH;

    ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;

    ssl_prefer_server_ciphers on;

    ssl_protocols SSLv3 TLSv1.1 TLSv1.2;


    ssl_session_cache shared:SSL:10m;

    ssl_session_timeout 10m;
    
por Chaimy 01.03.2013 / 04:07

1 resposta

2

Isso soa como um falso-positivo. Se você estiver executando o pacote OpenSSL mais recente em 12.04, não será afetado.

De acordo com esta atualização lançada há alguns dias, o pacote OpenSSL não é afetado e Nginx não está listado como um pacote afetado no que se refere a este CVE.

Eu recomendaria consultar a lista no link fornecido acima e verificar se há algum pacote instalado no sistema que possa ser afetado por essa vulnerabilidade.

A versão mais recente do repositório do OpenSSL é 1.0.1-4ubuntu5.7 e já deve ter medidas de combate em vigor para esta vulnerabilidade, pois isso era atualizou o patch pelo Debian há algum tempo. Veja Launchpad para mais detalhes.

Se nenhum desses pacotes estiver no seu sistema, eu questionaria a validade do software que o alertou (ele tem todas as assinaturas CVE mais recentes ?, etc.) e verifique seu sistema novamente com outro scanner, se possível .

    
por Kevin Bowen 01.03.2013 / 07:35