vulnerabilidad de Oracle (CVE-2016-2107) en haproxy + Apache + (AWS vs hosting privado)

2

Tenemos un sistema de producción alojado de forma privada y una máquina AWS que utilizamos para realizar pruebas. Ambos sistemas tienen la misma estructura:

  • terminación SSL con haproxy,
  • pasar a un servidor Apache que aloja un sitio web de Rails,
  • más una carga de servicios auxiliares, etc.

Mis intentos de fortalecer nuestro sistema en haproxy:

ssl-default-bind-options no-sslv3
ssl-default-bind-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
ssl-default-server-options no-sslv3
ssl-default-server-ciphers ECDH+AESGCM:DH+AESGCM:ECDH+AES256:DH+AES256:ECDH+AES128:DH+AES:RSA+AESGCM:RSA+AES:!aNULL:!MD5:!DSS
tune.ssl.default-dh-param 2048

En AWS, nuestro sistema obtuvo un A en la prueba de laboratorios SSL de Qualys (ignorando los problemas de confianza, ya que no pagamos un certificado verificado en nuestro sistema de prueba privado). En nuestra producción, el sistema obtuvo un F sólido, citando el ( CVE- 2016-2107 ) vulnerabilidad. Aparentemente, la solución es actualizar la versión de openssl (¡actualmente 1.0.1e en ambos sistemas ...!)

Sin embargo, tengo curiosidad por saber por qué esto fue un problema en nuestro servidor privado pero no en AWS. Lo pregunto porque siempre probamos cosas en AWS antes de nuestra máquina de producción para ver si, por ejemplo, una actualización de software rompe cualquier cosa, así que me gustaría estar al tanto de alguna diferencia intrínseca en ese entorno para que no quede atrapado en la versión en vivo ...

Muchas gracias de antemano.

    
pregunta rwold 16.05.2017 - 16:41
fuente

1 respuesta

1

Mi "comentario potencialmente relevante" fue realmente la clave. Debido a que las actualizaciones de software pueden estar llenas de problemas de compatibilidad, yum update no actualiza la versión de openssl (que ambos sistemas mostraron que era 1.0.1e) sino que actualiza los paquetes para incluir parches de seguridad. Puede ver que la versión en AWS estaba más actualizada que en la producción, pero ambos paquetes están relacionados con la misma versión 1.0.1e (presumiblemente, esto significa que la API está congelada a tiempo para las actualizaciones). Cualquier persona interesada puede leer más sobre esto aquí:

enlace

Yum update openssl significa que ambos sistemas ahora obtienen una A en Qualys.

    
respondido por el rwold 17.05.2017 - 13:01
fuente

Lea otras preguntas en las etiquetas