脆弱性準拠のためのPCIスキャンを渡すことができませんSSL_OP_DONT_INSERT_EMPTY_FRAGMENTS

私は、pciスキャンに合格しようとしています。Ubuntu12.04 ltsサーバーとNginxを使用しています。私は知っているすべてを試し、多くの研究を行いました...どうやったら見つけることができないOpenSSLの設定を無効にする必要があるようです。

これはスキャンの結果です：

SSL/TLSプロトコル初期化ベクトルの実装情報漏えいの脆弱性www（443/tcp）

CVSSスコア：中4.3-失敗

CVE-2011-3389

これはpciスキャナー会社によって提案された修正です：

サポートされている場合、TLS 1.1またはTLS 1.2のみを使用するようにSSL/TLSサーバーを構成します。ブロック暗号を使用しない暗号スイートのみをサポートするようにSSL/TLSサーバーを構成します。可能な場合はパッチを適用します。

OpenSSLは、OpenSSLの初期化時に「SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS」オプションが指定されていない限り、対策として空のフラグメントを使用します。

私はこれを行う方法がわからない、私はそれをすべて試しました、私が夢中になるのを助けてください:)

このSSL_OP_DONT_INSERT_EMPTY_FRAGMENTSオプションを無効にするにはどうすればよいですか？

注：tlsv1.1およびtlsv1.2は現在有効になっていません。すべての最新バージョン（Ubuntu 12.04 lts、nginx1.2.7およびopenSSL 1.0.1）にアップグレードしました。最新バージョンがこの問題を処理していることを読みました（tlsはデフォルトではサポートされていません）。しかし、スキャンからまったく同じレポートを取得しています。

以下のWebサーバー設定を参照して、暗号で必要なことをすべて実行しても、同じ結果が得られます。

server {

    listen 192.xxx.xx.xx:443 ssl;

      server_name mydomain.org alias *.mydomain.org;

    keepalive_timeout   70;

    # ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH;

    ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;

    ssl_prefer_server_ciphers on;

    ssl_protocols SSLv3 TLSv1.1 TLSv1.2;


    ssl_session_cache shared:SSL:10m;

    ssl_session_timeout 10m;