OpenSSL Padding Vulnerabilidade do Oracle com o mais recente openssl 1.1.0c

Navegue suas respostas
0

Eu tenho um servidor de teste executando o Centos 6.8 e não consigo superar essa mensagem ao executar um teste do SSL Labs: link

This server is vulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107) and insecure. Grade set to F. I believe it's to do with open openssl and I have the latest version OpenSSL 1.1.0c 10 Nov 2016.

Poderia ter a ver com minhas cifras?

SSLProtocol ALL -SSLv2 -SSLv3 SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:AES256-SHA256:!RC4:HIGH:MEDIUM:+TLSv1:+TLSv1.1:+TLSv1.2:!MD5:!ADH:!aNULL:!eNULL:!NULL:!DH:!ADH:!EDH:!AESGCM SSLHonorCipherOrder on

    
por William Harvey 16.12.2016 / 13:26

1 resposta

0

Bem, você precisa ajustar protocolos, cifras e algumas outras configurações para se adequar ao seu gosto. Você também está misturando protocolos e conjuntos de criptografia, o que provavelmente não é bom.

Aqui está a configuração básica do SSL / TLS para www.cryptopp.com , que é um projeto de código aberto com o qual eu ajudo. Ele é executado em uma VM do CentOS 7 e marca um "A" com os testes da Qualsys. Nenhum de nós é especialista em Apache, portanto, assuma a configuração pelo valor de face. Fazemos o suficiente para que os usuários não tenham problemas, mas não muito mais.

Normalmente, você quer algo como "TLS 1.0 e superior" ( SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2 ) e "Conjuntos de criptografia modernos" ( SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4 ). O !kRSA significa "nenhum transporte de chave RSA", que efetivamente deixa o Diffie-Hellman e encaminha o sigilo.

A configuração também define o cabeçalho STS ( Strict-Transport-Security ). 

# cat /etc/httpd/conf.d/ssl.conf | grep -v '#'
Listen 443 https

SSLPassPhraseDialog exec:/usr/libexec/httpd-ssl-pass-dialog

SSLSessionCache         shmcb:/run/httpd/sslcache(512000)
SSLSessionCacheTimeout  300

SSLRandomSeed startup file:/dev/urandom  256
SSLRandomSeed connect builtin

SSLCryptoDevice builtin

<VirtualHost *:443>
SSLEngine on

DocumentRoot "/var/www/html"
ServerName www.cryptopp.com:443
ServerAlias *.cryptopp.com cryptopp.com

ErrorLog logs/error_log
TransferLog logs/access_log
LogLevel warn

SSLProtocol -all +TLSv1 +TLSv1.1 +TLSv1.2

SSLCipherSuite HIGH:!aNULL:!kRSA:!MD5:!RC4

SSLCertificateFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLCertificateKeyFile /etc/pki/tls/private/cryptopp-com.key.pem

SSLCertificateChainFile /etc/pki/tls/certs/cryptopp-com.chain.pem

SSLVerifyClient none

Header set Strict-Transport-Security "max-age=15552001; includeSubdomains;"

</VirtualHost>

Eu também estou supondo que você não está usando o OpenSSL 1.1.0. Em vez disso, você provavelmente está usando uma versão mais antiga do FIPS. Aqui está a mesma VM do CetOS 7: 

$ openssl version
OpenSSL 1.0.1e-fips 11 Feb 2013

Mantenedores remendam patches, então tudo que você sabe é (1) você começou em algum lugar por volta de 1.0.1e, (2) você realmente não sabe o que você tem no momento, e (3) você tem um estilo Frekenstein engenhoca que foi reunida.

    
por 17.12.2016 / 01:35

Tags

Portas Foward com regras NAT do iptables? como enviar entrada de um script para outro usando o script bash