POODLE SSLv3.0 취약점 해결을 위한 httpd 설정 (CVE-2014-3566)

Resolution

이 취약점 문제를 해결하려면 SSL 을 비활성화하고 TLSv1.1 또는 TLSv1.2 만을 사용하는 것을 Red Hat 은 권장합니다. 하위 호환성은 TLSv1.0 을 사용하여 수행 할 수 있습니다. Red Hat 이 지원하는 많은 제품에 SSLv2 또는 SSLv3 프로토콜을 사용하는 기능이 있습니다. 이 프로토콜은 기본적으로 활성화되어 있습니다만, SSLv2 또는 SSLv3는 사용하지 않는 것이 현재 권장되고 있습니다.

httpd 에서 SSL 및 TLS 지원은 OpenSSL 라이브러리를 사용하는 mod_ssl 모듈 또는 NSS 라이브러리를 사용하는 mod_nss 모듈에서 제공합니다.

다음 예제에서는 지정된 제품 버전에서 지원되는 모든 TLS 버전을 활성화합니다.

mod_ssl 에서 SSL 3.0 비활성화하기

이 취약점은 mod_ssl 을 사용하는 httpd 에 영향을줍니다. 이 문제를 완화하려면 /etc/httpd/conf.d/ssl.conf 의 SSLProtocol 지시문을 다음과 같이 설정하십시오.

주의 : 이 지시어는 설정 파일의 최상위에 저장하거나 주소의 기본 가상 호스트 설정에 저장해야합니다.

옵션 1 : SSLv2 와 SSLv3 을 비활성화 (SSLv2와 SSLv3 이외는 모두 사용)**

    SSLProtocol All -SSLv2 -SSLv3

그 다음에, httpd 를 재시작합니다.

    # service httpd restart

옵션 2 : TLSv1.x 제외하고 모두 사용 안 함

Red Hat Enterprise Linux 7 또는 Red Hat Enterprise Linux 6.6 이후의 경우 :

    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

Red Hat Enterprise Linux 5 를 포함한 다른 플랫폼의 경우 :

    SSLProtocol -All +TLSv1

그 다음에, httpd 를 재시작합니다.

    # service httpd restart

mod_nss 에서 SSL 3.0 을 비활성화하기

이 문제를 완화하려면 /etc/httpd/conf.d/nss.conf 의 NSSProtocol 지시문을 다음과 같이 설정하십시오.

Red Hat Enterprise Linux 6 이상인 경우:

  NSSProtocol TLSv1.0,TLSv1.1

Red Hat Enterprise Linux 5 인 경우

  NSSProtocol TLSv1.0

그 다음에, httpd 를 재시작합니다.

  # service httpd restart