Como corrigir a vulnerabilidade CVE-2014-0224 OpenSSL?

2

Acabei de digitalizar meu site com esta ferramenta e ele dizia que ele estava vulnerável ao CVE-2014-0224. Como faço para corrigir isso?

Preciso obter um novo certificado emitido? Aquele que comprei da enom. É culpa deles? Ou é culpa do meu servidor web (da webfaction)?

Também diz:

A cifra RC4 é usada com TLS 1.1 ou em protocolos mais recentes, mesmo que cifras mais fortes estejam disponíveis.

e

O servidor não suporta o Forward Secrecy nos navegadores de referência.

Não sei se essas são todas as falhas do certificado SSL ou se meu servidor precisa oferecer suporte a servi-lo corretamente?

security ssl mpen
fonte
Que tipo de servidor é esse? VPS? Hospedagem Compartilhada? Ubuntu? CentOS?
Paul
@Paul Hospedagem compartilhada, Centos 6 - 64bit.
MPEN
1
Supondo que você não tenha acesso root, entre em contato com o seu provedor de serviços de Internet e peça para corrigi-lo ou mudar de provedor de serviços de Internet.
Paul
@Paul ISP? Você quer dizer provedor de hospedagem? "ISP" é quem eu compro minha conexão de internet doméstica.
MPEN
2
@Paul Não sabia que o ISP incluía "Hosting ISPs", mas especificamente significava "Provedores de acesso". Justo.
MPEN

Respostas:

3

Você precisa atualizar a versão do OpenSSL no seu servidor. A vulnerabilidade está no próprio código do software.

Você pode ler mais aqui: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224
ou aqui:
http://www.openssl.org/news/secadv_20140605.txt

editar: o texto importante é:

Os usuários do OpenSSL 0.9.8 SSL / TLS (cliente e / ou servidor) devem atualizar para 0.9.8za.
Os usuários do OpenSSL 1.0.0 SSL / TLS (cliente e / ou servidor) devem atualizar para 1.0.0m.
Os usuários do OpenSSL 1.0.1 SSL / TLS (cliente e / ou servidor) devem atualizar para 1.0.1h.

Rex Sheffield
fonte
Essa é a única redenção que deve ser feita. Você também deve revogar o certificado anterior APÓS corrigir e reiniciar.
Ramhound 29/06
2

CVE-2014-0224 requer uma atualização do openssl.

A cifra RC4 é usada com TLS 1.1 ou em protocolos mais recentes, mesmo que cifras mais fortes estejam disponíveis.

e

O servidor não suporta o Forward Secrecy nos navegadores de referência.

são meros problemas de configuração do servidor da web.

Algo assim (assumindo um apache):

SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'

é recomendado por https://bettercrypto.org / Applied Crypto Hardening. O uso do HTTP Strict Transport Security (hsts) deve ser cuidadosamente avaliado, pois pode quebrar as coisas e aumentar drasticamente a carga do servidor. Do ponto de vista da segurança, é recomendado.

Seu certificado provavelmente está bom, mas se ele tiver sido usado com uma versão explorável otimizada do openssl, é necessário substituí-lo (pode estar comprometido).

No entanto, a atualização do openssl e a configuração do servidor da web exigirão privilégios de superusuário. Se você estiver usando hospedagem compartilhada, não poderá fazer nada além de solicitar à empresa de hospedagem que a conserte. E eles, provavelmente, não vão dar a mínima.

blackhat.blade
fonte
Enviei um ticket com eles. Se eles disserem "não", mudarei para um VPS. Eu já tenho um, mas não quero passar pelo incômodo de transferir e descobrir como configurar isso sozinho. Obrigado pela informação!
MPEN