Passando pelo PCI Scan no apache 2.2.22

2

Estamos no Ubuntu 12.04 e na versão 2.2.2 do Apache. Fizemos varredura PCI em nosso site e 2 vulnerabilidades foram descobertas e não pudemos ficar sob controle. O primeiro é o ataque BEAST e outro SSL Cipher Suite RC4 Suportado.

Até agora eu tentei seguir isso parece promissor. Eu tentei com mais algumas alterações depois de procurar por ajuda, mas essas mudanças começaram a quebrar navegadores e foram descartadas.

SSLProtocol -SSLv2 -TLSv1 +SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:!MD5:!aNULL:!EDH
SSLCompression off

ou

SSLProtocol ALL -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS
SSLCompression off

Com base nos resultados da verificação em ssllabs, posso reduzir apenas uma das vulnerabilidades. Quais alterações eu preciso fazer para que ambas as vulnerabilidades sejam abordadas e suportem a versão atual dos navegadores?

    
por user871199 25.09.2013 / 21:04

2 respostas

3

Bem, a mitigação do BEAST (além do uso exclusivo do TLS 1.1 / 1.2, que o seu servidor não pode fazer agora) é usar o RC4.

Portanto, é provavelmente impossível configurar seu servidor de maneira que ele não seja sinalizado como vulnerável. Se você absolutamente precisa se livrar dessas vulnerabilidades, provavelmente precisará substituir a instalação OpenSSL do pacote do sistema operacional por um pacote de terceiros de uma versão mais recente ou compilado a partir do código-fonte.

    
por 25.09.2013 / 21:19
3

Atualmente, o ataque BEAST é geralmente mitigado por meio da divisão do registro 1 / n-1 . desde RC4 é considerado muito fraco para usar hoje. Verifique os avisos de segurança de sua distribuição para um OpenSSL atualizado que implementa a divisão de registro 1 / n-1, resolvendo o CVE-2011-3389. (Note que o Ubuntu parece já tê-lo .)

É claro que usar um servidor com capacidade para o TLS 1.2 é a solução preferida.

    
por 25.09.2013 / 21:21