客户端协商

客户端协商

我在 Apache 中设置了 -MultiViews 并且关闭了 SSLInsecureNegotation (在 mod_ssl.c 的 ifmodule 中)。

但是漏洞报告仍然说我容易受到客户端协商的攻击,并且“该服务器容易受到 MITM 攻击,因为它支持不安全的重新协商”。

有什么指点吗?

相同的配置在我们的测试环境中有效。唯一的区别是构建发布版本。

存在漏洞的系统大约有 31 个发布版本,而在我们的测试环境中,我们有 53 个发布版本)

全部基于 apache 2.2.3 (Oracle 提供)

谢谢 !

答案1

您必须将 httpd 更新至 2.2.3-31 或更高版本才能缓解此漏洞。请参阅RHSA 2009:1579了解详情。

(请注意,截至本文撰写时的最新版本是2.2.3-76

相关内容