RHEL httpsのSSL中間強度暗号化スイートのサポート(SWEET32)の脆弱性

RHEL httpsのSSL中間強度暗号化スイートのサポート(SWEET32)の脆弱性

RHEL 7.5ホストがプラグイン42873:TCPポート443の「SSL Medium Strength Cipher Suites(SWEET32)サポート」に脆弱であることを示すTenable Nessusスキャンの結果が得られました。

Tenable Nessus レポートの詳細は次のとおりです。

Medium Strength Ciphers (> 64-bit and < 112-bit key, or 3DES)

    Name                          Code             KEX           Auth     Encryption             MAC
    ----------------------        ----------       ---           ----     ---------------------  ---
    EDH-RSA-DES-CBC3-SHA          0x00, 0x16       DH            RSA      3DES-CBC(168)          SHA1
    ECDHE-RSA-DES-CBC3-SHA        0xC0, 0x12       ECDH          RSA      3DES-CBC(168)          SHA1
    DES-CBC3-SHA                  0x00, 0x0A       RSA           RSA      3DES-CBC(168)          SHA1

The fields above are :

  {Tenable ciphername}
  {Cipher ID code}
  Kex={key exchange}
  Auth={authentication}
  Encrypt={symmetric encryption method}
  MAC={message authentication code}
  {export flag}

そのため、次のように "netstat -tulnp"コマンドを使用してそのホストのソースを確認しました。

tcp6       0      0 :::443                  :::*                    LISTEN      67529/httpd

「ps 67529」の出力は、ターゲットがここから来たことを示します。

   PID TTY      STAT   TIME COMMAND
 67529 ?        Ss     0:00 /usr/sbin/httpd -DFOREGROUND

httpd -v から取得した httpd バージョンは次のとおりです。

Server version: Apache/2.4.6 (CentOS)

この脆弱性を解決するために、/etc/httpd/conf.d/ssl.confファイルを編集し、次のパラメータが実際に存在することを確認した後、変更を適用するために最終的にhttpdを再起動しました。

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA
SSLHonorCipherOrder on

ただし、Tenable Nessusで再スキャンした後でも、レポートにはまだこの脆弱性プラグイン42873が表示されます!誰でも助けることができますか? SSLパスワード関連の内容を処理するために編集する必要がある場所はわかりません。

アドバイスがあればよろしくお願いします。

答え1

最後に、「SSLCipherSuite」の内容を次のように編集しました。

ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

「SSLHonorCipherOrder」をに変更しますoff

問題が解決しました。

ヒントをくれた@Steffen Ullrichに感謝します! ! !

関連情報