web-dev-qa-db-ja.com

POODLE暗号!SSLv3 =プロトコルまたは暗号スイートの不一致

によると: ANNOUNCE:Pound-リバースプロキシおよびロードバランサー-v2.7d/Robert Segall 、次の拡張機能が追加されました:

- added "Disable PROTO" directives (fix for Poodle vulnerability)

私のシステム:

[root@6svprx01 ~]# uname -a
Linux 6svprx01.XXX.org 2.6.32-504.el6.x86_64 #1 SMP Tue Sep 16 01:56:35 EDT 2014 x86_64 x86_64 x86_64 GNU/Linux
[root@6svprx01 ~]# rpm -q Pound
Pound-2.6-2.el6.x86_64
[root@6svprx01 ~]# grep Ciphers /etc/pound.cfg
    Ciphers    "ALL:!aNULL:!ADH:!eNULL:!LOW:!EXP:!SSLv2:RC4+RSA:+HIGH:+MEDIUM"
[root@6svprx01 ~]#

... POODLE SSLv3に対処するために、!SSLv3Ciphersに追加しました。

しかし、Qualys SSL Labs - Projects / SSL Server Testを使用してテストしていると、Protocol or cipher suite mismatchHandshake Simulationが入ります。

これに対処する方法はありますか[〜#〜] [〜#〜]をPound v2.7d(ベータ)にアップグレードしてから新しいディレクティブを使用せずに?

2
alexus

goochjj/pound at pcidss/v2.6 ブランチ(Pound 2.6)に加えて、PCIコンプライアンスに合格するために(最初は)必要な暗号パッチとプロトコルパッチを使用できます。その一部として、無効にするディレクティブがあります。 SSL3。

# grep DisableSSL /etc/pound.cfg
    DisableSSLv3
    DisableSSLv2
# 

*更新*

DisableSSLv3 であるように見えます unknown directiveパッチを適用していないVersion 2.6、 使用する -SSLv3:-SSLv2Ciphersの内部。

3
alexus

上記の@alexusの答えは私にとって完璧に機能しました。私のように他の人がこのページに出くわした場合に備えて、ここにいくつかのメモを追加します。この特定の問題の組み合わせについては、良いガイダンスがあまりないようです。

1)元の問題の理由は、パッチが適用されていないバージョンのPoundは、!SSLv3Ciphersに追加すると、すべてのSSLv3暗号を無効にするためです。 TLSはほとんど同じ暗号に依存しており、それらがないとうまく機能しません。

2)古いバージョンのGCCは、@ alexusのリンクのパッチが適用されたバージョンで./configureを実行しようとすると、-Wno-unused-resultフラグを認識しないため、エラーが発生します。手動で削除しましたが、その後はすべて正常に動作しているようです。

3)DisableSSLv3ディレクティブはpound.cfgListenHTTPsブロック内にあります(Ciphersディレクティブの隣)

1
anschauung