POODLE Ciphers! SSLv3 = Incompatibilidade de protocolo ou conjunto de criptografia

2

De acordo com: ANÚNCIO: Libra - proxy reverso e balanceador de carga - v2.7d / Robert Segall , foi adicionado o seguinte aprimoramento:

- added "Disable PROTO" directives (fix for Poodle vulnerability)

Meu sistema:

[root@6svprx01 ~]# uname -a
Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux
[root@6svprx01 ~]# rpm -q Pound
Pound-2.6-2.el6.x86_64
[root@6svprx01 ~]# grep Ciphers /etc/pound.cfg
    Ciphers    "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM"
[root@6svprx01 ~]#

... para resolver POODLE SSLv3, adicionei !SSLv3 em Ciphers .

No entanto, ao usar Qualys SSL Labs - Projects / SSL Server Test para teste, recebo Protocol or cipher suite mismatch em Handshake Simulation .

Existe uma maneira de abordar este SEM upgrade para o Pound v2.7d (beta) e, em seguida, usando novas diretivas?

    
por alexus 23.10.2014 / 22:09

2 respostas

3

pode-se usar a ramificação goochjj / pound at pcidss / v2.6 , que é a libra 2.6, além de patches de cifra e protocolo necessários (inicialmente) para passar a conformidade com o PCI, e como parte disso é a diretiva para desabilitar o SSL3.

# grep DisableSSL /etc/pound.cfg
    DisableSSLv3
    DisableSSLv2
# 

* UPDATE *

DisableSSLv3 parece ser unknown directive usando Version 2.6 sem patches, use -SSLv3:-SSLv2 dentro de Ciphers .

    
por 29.10.2014 / 00:21
1

@ resposta do alexus acima funcionou perfeitamente para mim. Adicionando algumas notas adicionais aqui caso outras pessoas encontrem esta página como eu fiz. Não parece haver muita orientação boa para essa combinação específica de problemas.

1) O motivo do problema original é que a versão não corrigida do Pound desativa todas as cifras SSLv3 quando se adiciona !SSLv3 a Ciphers . O TLS depende principalmente das mesmas cifras e não funciona bem sem elas.

2) Versões mais antigas do GCC darão um erro quando você tentar executar ./configure na versão corrigida no link do @ alexus, já que ele não reconhece o -Wno-unused-result flag. Eu removi isso manualmente e tudo parece correr bem depois.

3) A diretiva DisableSSLv3 fica dentro do bloco ListenHTTPs em pound.cfg (ao lado da diretiva Ciphers )

    
por 29.10.2014 / 14:10