Recientemente ejecuté mi sitio web a través de la prueba SSL de SSL de Qualsys SSL . Mi sitio web obtuvo una calificación de "F" con este mensaje adjunto:
Este servidor es vulnerable a la vulnerabilidad de Oracle OpenSSL Padding Oracle (CVE-2016-2107) e inseguro. Grado establecido en F.
Al estar molesto por esto, me puse en contacto con mi proveedor de alojamiento web acerca de mis inquietudes, y la respuesta que me dieron fue:
La puntuación es falsa, ya que la distribución que usamos utiliza Open SSL, pero está parcheada y conserva la versión de numeración original. ya está parcheado, pero Redhat no cambia la versión de OpenSSL a la última versión debido a la forma en que construyen sus paquetes.
Esto me sonó mal, ya que no creía que tuviera sentido que tal prueba comprobara qué versión de OpenSSL se está ejecutando (¿cómo se verifica eso desde el "exterior"?), sino más bien para probar que la vulnerabilidad está presente al intentar ejecutar un ataque contra ella. Así que me quejé un poco más, incluso haciéndoles saber que otros probadores de vulnerabilidad lo marcan como vulnerable. Su respuesta a eso fue:
Ya está parcheado. Solo lo reportan como incorrecto debido al número de versión reportado al verificarlo. Muchas de las fichas fallan debido a ese motivo específico.
¿Debo confiar en la respuesta de mi proveedor de alojamiento web, o debo correr tan lejos como pueda tan rápido como pueda? Si dicen la verdad, ¿existen probadores de vulnerabilidad que no sean engañados por los números de versión de OpenSSL incorrectos?