我正在尝试通过 pci 扫描,我在 Ubuntu 12.04 lts 服务器和 Nginx 上。我已经尝试了我所知道的一切,并做了大量研究……显然似乎需要禁用 OpenSSL 中的设置,但我找不到如何操作。
这是扫描的结果:
SSL/TLS 协议初始化向量实现信息泄露漏洞 www (443/tcp)
CVSS 评分:中等 4.3 - 未通过
CVE-2011-3389
这是 PCI 扫描仪公司建议的修复方法:
配置 SSL/TLS 服务器以仅使用 TLS 1.1 或 TLS 1.2(如果支持)。配置 SSL/TLS 服务器以仅支持不使用分组密码的密码套件。应用补丁(如果有)。
除非在初始化 OpenSSL 时指定了“SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS”选项,否则 OpenSSL 使用空片段作为对策。
我不知道该怎么做,我已经试过了所有方法,请帮帮我,我快要疯了:)
我如何禁用此SSL_OP_DONT_INSERT_EMPTY_FRAGMENTS选项???
注意:tlsv1.1 和 tlsv1.2 目前未启用。我已将所有版本升级到最新版本(Ubuntu 12.04 lts、nginx1.2.7 和 openSSL 1.0.1)。我了解到最新版本已解决该问题(默认情况下不支持 tls)。但我从扫描中得到了完全相同的报告。
请参阅下面的 Web 服务器配置,我对密码做了所有必要的操作,但仍然得到相同的结果:
server {
listen 192.xxx.xx.xx:443 ssl;
server_name mydomain.org alias *.mydomain.org;
keepalive_timeout 70;
# ssl_ciphers RC4:HIGH:!aNULL:!MD5:!kEDH;
ssl_ciphers ECDHE-RSA-AES128-SHA256:AES128-GCM-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH;
ssl_prefer_server_ciphers on;
ssl_protocols SSLv3 TLSv1.1 TLSv1.2;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
答案1
这听起来像是误报。如果您OpenSSL在 12.04 上运行最新的软件包,则不会受到影响。
根据本次更新几天前发布,该OpenSSL软件包未受到影响,并且Nginx就此 CVE 而言未列为受影响的软件包。
我建议查看上面提供的链接中的列表,看看系统上安装的任何软件包是否可能受到此漏洞的影响。
OpenSSL 存储库中的最新版本是 1.0.1-4ubuntu5.7,应该已经针对此漏洞制定了应对措施,因为这是上游已修补由 Debian 于一段时间前发布。请参阅 发射台更多细节。
如果您的系统上没有这些软件包,我会质疑向您发出警报的软件的有效性(它是否具有所有最新的 CVE 签名?等等),并且如果可能的话,使用另一个扫描仪再次检查您的系统。