Translated message

A translation of this page exists in English.

Warning message

This translation is outdated. For the most up-to-date information, please refer to the English version.

POODLE SSLv3.0 취약점 해결을 위한 httpd 설정 (CVE-2014-3566)

Solution In Progress - Updated -

Environment

  • Red Hat Enterprise Linux 5, 6, 7
  • Red Hat JBoss Enterprise Application Platform (EAP) 5, 6
  • JBoss Enterprise Web Server (EWS) 1, 2
  • Inktank Ceph Enterprise (ICE) 1
  • Red Hat Storage Console
  • Red Hat Enterprise Virtualization

Issue

  • CVE-2014-3566 취약점의 영향을 받지않게 하기 위한 httpd 설정은 어떻게 하나요?

Resolution

이 취약점 문제를 해결하려면 SSL 을 비활성화하고 TLSv1.1 또는 TLSv1.2 만을 사용하는 것을 Red Hat 은 권장합니다. 하위 호환성은 TLSv1.0 을 사용하여 수행 할 수 있습니다. Red Hat 이 지원하는 많은 제품에 SSLv2 또는 SSLv3 프로토콜을 사용하는 기능이 있습니다. 이 프로토콜은 기본적으로 활성화되어 있습니다만, SSLv2 또는 SSLv3는 사용하지 않는 것이 현재 권장되고 있습니다.

httpd 에서 SSL 및 TLS 지원은 OpenSSL 라이브러리를 사용하는 mod_ssl 모듈 또는 NSS 라이브러리를 사용하는 mod_nss 모듈에서 제공합니다.

다음 예제에서는 지정된 제품 버전에서 지원되는 모든 TLS 버전을 활성화합니다.

mod_ssl 에서 SSL 3.0 비활성화하기

이 취약점은 mod_ssl 을 사용하는 httpd 에 영향을줍니다. 이 문제를 완화하려면 /etc/httpd/conf.d/ssl.confSSLProtocol 지시문을 다음과 같이 설정하십시오.

주의 : 이 지시어는 설정 파일의 최상위에 저장하거나 주소의 기본 가상 호스트 설정에 저장해야합니다.

옵션 1 : SSLv2 와 SSLv3 을 비활성화 (SSLv2와 SSLv3 이외는 모두 사용)**

    SSLProtocol All -SSLv2 -SSLv3

그 다음에, httpd 를 재시작합니다.

    # service httpd restart

옵션 2 : TLSv1.x 제외하고 모두 사용 안 함

Red Hat Enterprise Linux 7 또는 Red Hat Enterprise Linux 6.6 이후의 경우 :

    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2

Red Hat Enterprise Linux 5 를 포함한 다른 플랫폼의 경우 :

    SSLProtocol -All +TLSv1

그 다음에, httpd 를 재시작합니다.

    # service httpd restart

mod_nss 에서 SSL 3.0 을 비활성화하기

이 문제를 완화하려면 /etc/httpd/conf.d/nss.conf 의 NSSProtocol 지시문을 다음과 같이 설정하십시오.

Red Hat Enterprise Linux 6 이상인 경우:

  NSSProtocol TLSv1.0,TLSv1.1

Red Hat Enterprise Linux 5 인 경우

  NSSProtocol TLSv1.0

그 다음에, httpd 를 재시작합니다.

  # service httpd restart

Root Cause

SSLv3.0 프로토콜에서 취약점이 발견되었습니다. 맨-인더-미들 공격자는이 취약점을 이용하여 padding oracle side-channel 공격을 수행하여 암호문을 해독할 수 있습니다. 취약점에 대한 자세한 내용은 POODLE: SSLv3.0 vulnerability (CVE-2014-3566) 을 참조하십시오.

Diagnostic Steps

진단 절차는 POODLE: SSLv3.0 vulnerability (CVE-2014-3566) 을 참조하십시오.

This solution is part of Red Hat’s fast-track publication program, providing a huge library of solutions that Red Hat engineers have created while supporting our customers. To give you the knowledge you need the instant it becomes available, these articles may be presented in a raw and unedited form.

Comments