У меня установлен -MultiViews и отключен SSLInsecureNegotation (в ifmodule mod_ssl.c) в Apache.
Но все же в отчете об уязвимости говорится, что я уязвим для согласования на стороне клиента и «Этот сервер уязвим для атак MITM, потому что он поддерживает небезопасное повторное согласование».
Есть указатели?
Такая же конфигурация работает в наших тестовых средах. Единственное отличие - это версии выпуска сборки.
Система, в которой он уязвим, имеет 31 версию для сборки выпуска, а в нашей среде TEST у нас есть версия сборки выпуска 53)
Все на apache 2.2.3 (предоставляется Oracle)
Спасибо !
Вы должны обновить httpd до версии 2.2.3-31 или более поздней, чтобы уменьшить эту уязвимость. Видеть RHSA 2009: 1579 для подробностей.
(Обратите внимание, что последняя версия на момент написания статьи 2.2.3-76.)