Назад | Перейти на главную страницу

Клиентские переговоры

У меня установлен -MultiViews и отключен SSLInsecureNegotation (в ifmodule mod_ssl.c) в Apache.

Но все же в отчете об уязвимости говорится, что я уязвим для согласования на стороне клиента и «Этот сервер уязвим для атак MITM, потому что он поддерживает небезопасное повторное согласование».

Есть указатели?

Такая же конфигурация работает в наших тестовых средах. Единственное отличие - это версии выпуска сборки.

Система, в которой он уязвим, имеет 31 версию для сборки выпуска, а в нашей среде TEST у нас есть версия сборки выпуска 53)

Все на apache 2.2.3 (предоставляется Oracle)

Спасибо !

Вы должны обновить httpd до версии 2.2.3-31 или более поздней, чтобы уменьшить эту уязвимость. Видеть RHSA 2009: 1579 для подробностей.

(Обратите внимание, что последняя версия на момент написания статьи 2.2.3-76.)