O teste mostra o SSLv3 ativado, embora eu o tenha desativado com SSLProtocol

Navegue suas respostas
0

Estou trabalhando em remediação para alguns testes de penetração que fizemos.

O teste de penetração reporta uma vulnerabilidade POODLE devido à habilitação do SSv3.

No entanto, na definição do VirtualHost do meu httpd.conf, eu tenho: 

<VirtualHost *:443>
     ServerAdmin [email protected]
     ServerName myhost.com
     SSLEngine On
     SSLProtocol all -SSLv2 -SSLv3
     SSLCertificateFile "/etc/httpd/ssl/e98c5d5c622256c1.crt"
     SSLCertificateKeyFile "/etc/httpd/ssl/myhost.key"
     SSLCertificateChainFile "/etc/httpd/ssl/gd_bundle-g2-g1.crt"
     RedirectMatch ^(.*)$ https://myhost.com/ords/f?p=1000:15
     RewriteEngine On
     RewriteCond %{REQUEST_METHOD} ^(TRACE|TRACK)
     RewriteRule .* - [F]
</VirtualHost>
Claramente, eu tenho -SSLv3 na linha SSLProtocol acima, e tudo que eu li diz que se eu desabilitar o SSLv3, eu não estarei sujeito ao ataque POODLE.

Mas eu tentei o testador de SSL on-line Qualys e um script nmap 'ssl-poodle', e ambos me dizem que ainda estou vulnerável.

Ajuda?

Alguém pode explicar o que eu perdi aqui?

Obrigado!

Atualização: Isso está no Oracle Linux 7.3, com Apache / 2.4.6

    
por Mark J. Bobak 04.01.2018 / 21:57

1 resposta

0

Ok, eu percebi isso. Embora eu tivesse a instrução SSLProtocol correta em cada definição de VirtualHost no meu arquivo /etc/httpd/conf/httpd.conf , ela é aparentemente necessária na definição VirtualHost padrão em /etc/httpd/conf.d/ssl.conf .

Depois de adicioná-lo ao ssl.conf, ele começou a funcionar.

    
por 07.01.2018 / 19:45

Tags

PC shutdowns em ~ 10 minutos após o lançamento do Steam Não é possível abrir o terminal de formulário de arquivo / private / etc / hosts