CVE-2014-0224 OpenSSL 취약점을 어떻게 해결합니까?

방금 이 도구를 사용 하여 내 사이트를 검색 했으며 내 사이트가 CVE-2014-0224에 취약하다고 말했습니다. 어떻게 고치나요?

새 인증서를 발급 받아야합니까? 내가 enom에서 구입 한 것. 그들의 잘못입니까? 아니면 내 웹 서버 (webfaction)의 결함입니까?

또한 말합니다 :

RC4 암호는 더 강력한 암호가 사용 가능하더라도 TLS 1.1 이상의 프로토콜과 함께 사용됩니다.

과

서버는 참조 브라우저에서 전달 보안을 지원하지 않습니다.

SSL 인증서의 모든 결함인지 또는 서버에서 올바르게 제공해야하는지 모르겠습니다.

서버에서 OpenSSL 버전을 업그레이드해야합니다. 취약점은 소프트웨어 코드 자체에 있습니다.

자세한 내용은 여기 ( http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224)
또는 여기 ( http://www.openssl.org/news/secadv_20140605.txt)를 참조 하십시오.

편집 : 중요한 텍스트는 다음과 같습니다

OpenSSL 0.9.8 SSL / TLS 사용자 (클라이언트 및 / 또는 서버)는 0.9.8za로 업그레이드해야합니다.
OpenSSL 1.0.0 SSL / TLS 사용자 (클라이언트 및 / 또는 서버)는 1.0.0m으로 업그레이드해야합니다.
OpenSSL 1.0.1 SSL / TLS 사용자 (클라이언트 및 / 또는 서버)는 1.0.1h로 업그레이드해야합니다.

CVE-2014-0224에는 openssl 업데이트가 필요합니다.

RC4 암호는 더 강력한 암호가 사용 가능하더라도 TLS 1.1 이상의 프로토콜과 함께 사용됩니다.

과

서버는 참조 브라우저에서 전달 보안을 지원하지 않습니다.

단순한 웹 서버 구성 문제입니다.

이와 같은 것 (아파치를 가정) :

SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'

https://bettercrypto.org / Applied Crypto Hardening에서 권장합니다 . HTTP Strict Transport Security (hsts)의 사용은 문제를 일으키고 서버로드를 크게 증가시킬 수 있으므로 신중하게 판단해야합니다. 보안 관점에서 권장됩니다.

인증서는 괜찮을지 모르지만 악용 가능한 버전의 openssl과 함께 사용 된 경우 인증서를 교체해야합니다 (손상 될 수 있음).

그러나 openssl을 업그레이드하고 웹 서버를 구성하려면 수퍼 유저 권한이 필요합니다. 공유 호스팅을 사용하는 경우 호스팅 회사에이를 수정하도록 요청하는 것 외에는 할 수있는 것이 없습니다. 그리고 그들은 아마 저주를주지 않을 것입니다.