Hicimos una prueba de Qualys en dos de nuestras URL más temprano hoy. Las URL son de dos aplicaciones similares (las mismas versiones) alojadas en servidores idénticos ubicados en dos centros de datos diferentes. La prueba devolvió 'A-' para uno y 'F' para el otro. El motivo de la calificación 'F' se dio como:
Este servidor es vulnerable a la vulnerabilidad de Oracle OpenSSL Padding (CVE-2016-2107) e inseguro. Grado establecido en F.
Sin embargo, la versión de OpenSSL
que tenemos en ambos servidores es antigua e idéntica:
[user@alpha01 ~]$ rpm -qa | grep openssl
openssl-1.0.1e-30.el6_6.4.x86_64
¿Por qué la prueba de Qualys no identificó la vulnerabilidad en el servidor que dio 'A-' aunque está ejecutando una versión vulnerable de OpenSSL
como la otra? ¿Es la vulnerabilidad de OpenSSL Padding Oracle algo que puede solucionarse a nivel de firewall? Sospecho que el servidor de seguridad en el servidor que recibió la 'A-' tuvo éxito al filtrar el paquete que intentaba probar esta vulnerabilidad. Estoy en lo cierto ¿Es esto algo que se puede arreglar a nivel de firewall? (Dado que ambos servidores web están ubicados en diferentes centros de datos y detrás de diferentes cortafuegos)