Apache-2.2

在 apache 2.2.22 上通過 PCI 掃描

  • September 25, 2013

我們使用的是 Ubuntu 12.04 和 apache 2.2.2 版本。我們在我們的網站上進行了 PCI 掃描,發現了 2 個我們無法控制的漏洞。第一個是 BEAST 攻擊,另一個是 SSL RC4 Cipher Suites Supported。

到目前為止,我已經嘗試過看起來很有希望的方法。在尋求幫助後,我嘗試了更多更改,但這些更改反過來又開始破壞瀏覽器並被丟棄。

SSLProtocol -SSLv2 -TLSv1 +SSLv3
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-RC4-SHA:ECDHE-RSA-RC4-SHA:ECDH-ECDSA-RC4-SHA:ECDH-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:RC4-SHA:!MD5:!aNULL:!EDH
SSLCompression off

或者

SSLProtocol ALL -SSLv2
SSLHonorCipherOrder On
SSLCipherSuite ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:ECDH+3DES:DH+3DES:RSA+AES:RSA+3DES:!ADH:!AECDH:!MD5:!DSS
SSLCompression off

根據 ssllabs 的掃描結果,我只能緩解其中一個漏洞。我需要做哪些更改才能解決這兩個漏洞並支持目前版本的瀏覽器?

好吧,BEAST 的緩解措施(除了專門使用 TLS 1.1/1.2,您的伺服器現在不能這樣做)是使用 RC4。

因此,可能不可能以不會被標記為易受攻擊的方式配置您的伺服器。如果您絕對必須擺脫這些漏洞,您可能需要將 OS 包的 OpenSSL 安裝替換為較新版本的第三方包,或從原始碼編譯。

如今,BEAST 攻擊通常通過1/n-1 記錄拆分來緩解,因為 RC4 被認為太弱而無法在今天使用。檢查您的發行版的安全公告以獲取更新的 OpenSSL,它實現了 1/n-1 記錄拆分,解決了 CVE-2011-3389。(請注意,Ubuntu 似乎已經擁有它。)

當然,使用支持 TLS 1.2 的伺服器是首選解決方案。

引用自:https://serverfault.com/questions/541648