Я пытаюсь пройти сканирование pci, я на сервере Ubuntu 12.04 lts и Nginx. Я перепробовал все, что знаю, и провел много исследований ... по-видимому, кажется, что нужно отключить параметр в OpenSSL, который я не могу найти, как это сделать.
Это результат сканирования:
Вектор инициализации протокола SSL / TLS Уязвимость раскрытия информации о реализации www (443 / tcp)
Оценка CVSS: средняя 4,3 - Ошибка
CVE-2011-3389
blockquote>, и это предложение, предложенное компанией pci scanner:
Настройте серверы SSL / TLS на используйте только TLS 1.1 или TLS 1.2, если это поддерживается. Настройте серверы SSL / TLS для поддержки только наборов шифров, в которых не используются блочные шифры. Примените патчи, если они доступны.
OpenSSL использует пустые фрагменты в качестве контрмеры, если только опция «SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS» не указана при инициализации OpenSSL.
blockquote>Я не знаю, как это сделать, я все перепробовал, пожалуйста, помогите, я схожу с ума :))
Как отключить эту опцию
SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS
?? ?Примечание: tlsv1.1 и tlsv1.2 сейчас не включены. Я обновился до последней версии всех версий (Ubuntu 12.04 lts, nginx1.2.7 и openSSL 1.0.1). Я читал, что последние версии решают проблему (tls не поддерживается по умолчанию). Но я получаю точно такой же отчет со скана.
См. Ниже моего веб-сервера, я сделал все, что должен был, с помощью шифров, все еще получая тот же результат:
server { listen 192.xxx.xx.xx:443 ssl; server_name mydomain.org alias *.mydomain.org; keepalive_timeout 70; # ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH; ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH; ssl_prefer_server_ciphers on; ssl_protocols SSLv3 TLSv1.1 TLSv1.2; ssl_session_cache shared:SSL:10m; ssl_session_timeout 10m;
Это звучит как ложноположительный. Если вы работаете с последним пакетом OpenSSL
12.04, это не должно повлиять на вас.
Согласно этому обновлению , выпущенному несколько дней назад, пакет OpenSSL
не затронут, и Nginx
не указан в качестве затронутого пакета, если речь идет об этом CVE.
Я бы порекомендовал просмотреть список по приведенной выше ссылке и посмотреть, установлены ли в системе какие-либо пакеты, на которые может повлиять эта уязвимость.
Последним выпуском в репозитории для OpenSSL является 1.0.1-4ubuntu5.7, и в нем уже должны быть предусмотрены меры противодействия этой уязвимости, поскольку это было исправлено в исходном Debian некоторое время назад. См. Launchpad для более подробной информации.
Если в вашей системе нет ни одного из этих пакетов, я бы поставил под сомнение действительность программного обеспечения, которое вас предупредило (есть ли у него все последние сигнатуры CVE? ,