Vulnerabilità Oracle (CVE-2016-2107) su haproxy + Apache + (AWS vs hosting privato)

2

Abbiamo un sistema di produzione ospitato privatamente e una macchina AWS che usiamo per testare. Entrambi i sistemi hanno la stessa struttura:

  • Terminazione SSL con haproxy,
  • passaggio a un server Apache che ospita un sito Web di rotaie
  • più un carico di servizi ausiliari, ecc.

I miei tentativi di rafforzare il nostro sistema in haproxy:

ssl-default-bind-options no-sslv3
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-server-options no-sslv3
ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
tune.ssl.default-dh-param 2048

Su AWS il nostro sistema ha ottenuto un A sul test dei laboratori SSL Qualys (ignorando i problemi di affidabilità in quanto non abbiamo pagato un certificato verificato sul nostro sistema di test privato).
Sulla nostra produzione, il sistema ha ottenuto un solido F , citando il ( CVE- 2016-2107 ) vulnerabilità. Apparentemente la soluzione è aggiornare la versione di openssl (attualmente 1.0.1e su entrambi i sistemi ...!)

Sono curioso, però, del motivo per cui si è trattato di un problema sul nostro server con hosting privato ma non su AWS? Ti sto chiedendo perché proviamo sempre le cose su AWS prima che la nostra macchina di produzione verifichi, ad es. un aggiornamento del software interrompe qualsiasi cosa, quindi mi piacerebbe essere consapevole di alcune differenze intrinseche in quell'ambiente, così da non farmi prendere dalla versione live ...

Molte grazie in anticipo.

    
posta rwold 16.05.2017 - 16:41
fonte

1 risposta

1

Il mio "commento potenzialmente pertinente" era in realtà la chiave. Poiché gli aggiornamenti software possono essere pieni di problemi di compatibilità, yum update non aggiorna la versione di openssl (che entrambi i sistemi mi hanno mostrato essere 1.0.1e), ma aggiorna i pacchetti per includere le patch di sicurezza. Puoi vedere che la versione su AWS era più aggiornata rispetto alla produzione, ma entrambi i pacchetti erano relativi alla stessa versione 1.0.1e (presumibilmente, questo significa che l'API è congelata in tempo rispetto agli aggiornamenti). Chiunque sia interessato può leggere di più qui:

link

Yum update openssl significa che entrambi i sistemi ora assegnano un punteggio A su Qualys.

    
risposta data 17.05.2017 - 13:01
fonte

Leggi altre domande sui tag