6

PCI 準拠スキャンを実行しているクライアントがあり、次の結果が返されます。

BEAST (Browser Exploit Against SSL/TLS) Vulnerability
The SSL protocol encrypts data by using CBC mode with chained
initialization vectors. This allows an attacker, which is has gotten
access to an HTTPS session via man-in-the-middle (MITM) attacks or other means, to obtain plain text HTTP headers via
a blockwise chosen-boundary attack (BCBA) in conjunction with
Javascript code that uses the HTML5 WebSocket API, the Java
URLConnection API, or the Silverlight WebClient API. This
vulnerability is more commonly referred to as Browser Exploit Against
SSL/TLS or "BEAST".
CVE: CVE-2011-3389
NVD: CVE-2011-3389
Bugtraq: 49778
CVSSv2: AV:N/AC:M/Au:N/C:P/I:N/A:N(4.30)
Reference: https://bugzilla.mozilla.org/show_bug.cgi?id=665814,
http://httpd.apache.org/docs/trunk/mod/mod_ssl.html#sslciphersuite,
http://technet.microsoft.com/en-us/security/bulletin/ms12-006
Service: http
Evidence:
Cipher Suite: SSLv3 : DES-CBC3-SHA
Cipher Suite: SSLv3 : RC4-SHA
Cipher Suite: SSLv3 : RC4-MD5
Cipher Suite: TLSv1 : AES256-SHA
Cipher Suite: TLSv1 : AES128-SHA
Cipher Suite: TLSv1 : DES-CBC3-SHA
Cipher Suite: TLSv1 : RC4-SHA
Cipher Suite: TLSv1 : RC4-MD5

彼らのサイトは Windows Azure でホストされています。これらのサーバーは管理されているため、この穴を塞ぐための推奨される方法はありますか?

4

1 に答える 1

2

Azureで正確に何を実行していますか?それはWebの役割ですか?Azure Webサイト?IaaSモードの独自のWindowsサーバー?

Webロールを実行している場合、最新のWindows OSを実行していますか?Microsoftは、2012年4月にWebロールでこの問題にパッチを適用しました。

http://msdn.microsoft.com/en-us/library/windowsazure/hh967599.aspx

IaaSモードでWindowsServerを実行している場合は、サーバーにパッチを適用するのはユーザー自身の責任です。

于 2012-12-22T01:34:18.480 に答える