我在 Apache 中设置了 -MultiViews 并且关闭了 SSLInsecureNegotation (在 mod_ssl.c 的 ifmodule 中)。
但是漏洞报告仍然说我容易受到客户端协商的攻击,并且“该服务器容易受到 MITM 攻击,因为它支持不安全的重新协商”。
有什么指点吗?
相同的配置在我们的测试环境中有效。唯一的区别是构建发布版本。
存在漏洞的系统大约有 31 个发布版本,而在我们的测试环境中,我们有 53 个发布版本)
全部基于 apache 2.2.3 (Oracle 提供)
谢谢 !
答案1
您必须将 httpd 更新至 2.2.3-31 或更高版本才能缓解此漏洞。请参阅RHSA 2009:1579了解详情。
(请注意,截至本文撰写时的最新版本是2.2.3-76。