Affidabilità di Padding Testers di vulnerabilità di Oracle

Naviga le tue risposte
5

Recentemente ho eseguito il mio sito web attraverso il Test SSL di Qualsys SSL Labs . Il mio sito web ha ottenuto un voto "F" con questo messaggio allegato:

This server is vulnerable to the OpenSSL Padding Oracle vulnerability (CVE-2016-2107) and insecure. Grade set to F.

Essendo infastidito da questo, ho contattato il mio host web in merito alle mie preoccupazioni e la risposta che mi hanno dato è stata:

The scoring is false, since the distro we using, it uses Open SSL, but it is patched while retaining the original numbering version. it is already patched but Redhat do not change the OpenSSL version to latest version due to how they build their packages.

Questo mi sembrava pericoloso, dal momento che non pensavo che fosse logico per un test del genere controllare quale versione di OpenSSL è in esecuzione (come si fa a controllarla dal "fuori"?), ma piuttosto a testare che la vulnerabilità è presente cercando di eseguire un attacco contro di essa. Quindi mi sono lamentato di più, includendo loro di sapere che altri tester di vulnerabilità lo considerano vulnerabile. La loro risposta è stata:

It is already patched. Just they report it as bad due to the version number reported when checking it. Lot of checkers fails it due to that specfic reason itself.

Dovrei fidarmi della risposta dal mio host web, o dovrei correre il più lontano possibile il più velocemente possibile? Se stanno dicendo la verità, ci sono tester di vulnerabilità che non vengono ingannati da numeri di versione OpenSSL errati?

    
posta Alex 11.03.2017 - 14:46
fonte

1 risposta

2

La versione verrebbe probabilmente controllata in base all'intestazione HTTP o alle pagine di errore predefinite. Questo sembra anche essere l'assunto del tuo hoster, che dice che stanno inviando la versione sbagliata, il che si traduce in falsi positivi.

Qualys tuttavia dice che non testano questo tramite la versione , ma tramite un test basato su questo test.

Cloudflare descrive il test (e anche la vulnerabilità stessa ):

Detecting a vulnerable server is as easy as sending an encrypted message which decrypts to AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA, and checking if the TLS alert is DATA_LENGTH_TOO_LONG (vulnerable) or BAD_RECORD_MAC (not vulnerable)

    
risposta data 11.03.2017 - 15:04
fonte

Leggi altre domande sui tag

Vale la pena utilizzare ModSecurity su una singola connessione Web socket socket? Vulnerabilità LastPass: gli utenti LastPass dovrebbero cambiare tutte le loro password?