출처 : https://access.redhat.com/ko/node/1258903
POODLE SSLv3.0 취약점 해결을 위한 httpd 설정 (CVE-2014-3566)
Issue
- CVE-2014-3566 취약점의 영향을 받지않게 하기 위한 httpd 설정은 어떻게 하나요?
Environment
- Red Hat Enterprise Linux 5, 6, 7
- Red Hat JBoss Enterprise Application Platform (EAP) 5, 6
- JBoss Enterprise Web Server (EWS) 1, 2
- Inktank Ceph Enterprise (ICE) 1
- Red Hat Storage Console
- Red Hat Enterprise Virtualization
Resolution
이 취약점 문제를 해결하려면 SSL 을 비활성화하고 TLSv1.1 또는 TLSv1.2 만을 사용하는 것을 Red Hat 은 권장합니다. 하위 호환성은 TLSv1.0 을 사용하여 수행 할 수 있습니다. Red Hat 이 지원하는 많은 제품에 SSLv2 또는 SSLv3 프로토콜을 사용하는 기능이 있습니다. 이 프로토콜은 기본적으로 활성화되어 있습니다만, SSLv2 또는 SSLv3는 사용하지 않는 것이 현재 권장되고 있습니다.
httpd 에서 SSL 및 TLS 지원은 OpenSSL 라이브러리를 사용하는 mod_ssl
모듈 또는 NSS 라이브러리를 사용하는 mod_nss
모듈에서 제공합니다.
다음 예제에서는 지정된 제품 버전에서 지원되는 모든 TLS 버전을 활성화합니다.
mod_ssl 에서 SSL 3.0 비활성화하기
이 취약점은 mod_ssl 을 사용하는 httpd 에 영향을줍니다. 이 문제를 완화하려면 /etc/httpd/conf.d/ssl.conf
의 SSLProtocol
지시문을 다음과 같이 설정하십시오.
주의 : 이 지시어는 설정 파일의 최상위에 저장하거나 주소의 기본 가상 호스트 설정에 저장해야합니다.
옵션 1 : SSLv2 와 SSLv3 을 비활성화 (SSLv2와 SSLv3 이외는 모두 사용)**
SSLProtocol All -SSLv2 -SSLv3
그 다음에, httpd 를 재시작합니다.
# service httpd restart
옵션 2 : TLSv1.x 제외하고 모두 사용 안 함
Red Hat Enterprise Linux 7 또는 Red Hat Enterprise Linux 6.6 이후의 경우 :
SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
Red Hat Enterprise Linux 5 를 포함한 다른 플랫폼의 경우 :
SSLProtocol -All +TLSv1
그 다음에, httpd 를 재시작합니다.
# service httpd restart
mod_nss 에서 SSL 3.0 을 비활성화하기
이 문제를 완화하려면 /etc/httpd/conf.d/nss.conf
의 NSSProtocol 지시문을 다음과 같이 설정하십시오.
Red Hat Enterprise Linux 6 이상인 경우:
NSSProtocol TLSv1.0,TLSv1.1
Red Hat Enterprise Linux 5 인 경우
NSSProtocol TLSv1.0
그 다음에, httpd 를 재시작합니다.
# service httpd restart
Root Cause
SSLv3.0 프로토콜에서 취약점이 발견되었습니다. 맨-인더-미들 공격자는이 취약점을 이용하여 padding oracle side-channel 공격을 수행하여 암호문을 해독할 수 있습니다. 취약점에 대한 자세한 내용은 POODLE: SSLv3.0 vulnerability (CVE-2014-3566) 을 참조하십시오.
Diagnostic Steps
진단 절차는 POODLE: SSLv3.0 vulnerability (CVE-2014-3566) 을 참조하십시오.
댓글 0
번호 | 제목 | 글쓴이 | 날짜 | 조회 수 |
---|---|---|---|---|
49 | PHP + redis(phpredis) 연동하기 | 위대한유저 | 2015.06.04 | 380 |
48 | REDIS-3.0.1 설치 하기 | 위대한유저 | 2015.06.04 | 477 |
47 | 리눅스에서 arp cache 삭제/초기화 하는 방법 | 위대한유저 | 2015.05.29 | 34224 |
46 | 윈도우에서 ARP CACHE 삭제/초기화 하는 방법 | 위대한유저 | 2015.05.29 | 2847 |
45 | XE 1.8.2까지의 버전에서 슬라이드 사용안함 속성이 반영 안되는 문제 | 위대한유저 | 2015.05.21 | 1931 |
44 | creative commons licenses | 위대한유저 | 2015.05.21 | 172 |
43 | installation documentation for Redmine 1.4.0 and higher | 위대한유저 | 2015.05.13 | 321 |
» | POODLE SSLV3.0 취약점 해결을 위한 HTTPD 설정 (CVE-2014-3566) | 위대한유저 | 2015.05.13 | 564 |
41 | boot single mode in centos7 or rhel7 | 위대한유저 | 2015.05.07 | 303 |
40 | Creating default object from empty value in PHP5.4 | 위대한유저 | 2015.04.29 | 301 |
39 | TOMCAT + APACHE BY MOD_PROXY | 위대한유저 | 2015.04.28 | 612 |
38 | UBUNTU DESKTOP CHANGE RESOLUTION ON VIRTUALBOX | 위대한유저 | 2015.04.23 | 224 |
37 | PERMIT ROOT LOGIN AT UBUNTU | 위대한유저 | 2015.04.23 | 252 |
36 | Red Hat Enterprise Linux technology capabilities and limits | 위대한유저 | 2015.04.20 | 423 |
35 | net use 사용시 시스템 오류 58(이)가 생겼습니다. | 위대한유저 | 2015.04.08 | 6217 |