У меня запущен экземпляр образа RabbitMQ 3.7.7-management . Он имеет подключаемый модуль rabbitmq-management и настроен на использование HTTPS согласно документации :
management.listener.port = 15671
management.listener.ssl = true
management.listener.ssl_opts.cacertfile = /path/to/cacert.pem
management.listener.ssl_opts.certfile = /path/to/cert.pem
management.listener.ssl_opts.keyfile = /path/to/key.pem
management.listener.ssl_opts.fail_if_no_peer_cert = false
management.listener.ssl_opts.versions.1 = tlsv1.2
Когда я оцениваю настройку TLS с помощью testssl.sh инструмента тестирования, тест на уязвимость SWEET32 завершается неудачно:
Testing vulnerabilities
...
SWEET32 (CVE-2016-2183, CVE-2016-6329) VULNERABLE, uses 64 bit block ciphers
...
OpenVAS Framework также жалуется:
Результат обнаружения уязвимости
'Vulnerable' cipher suites accepted by this service via the TLSv1.2 protocol:
TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
TLS_RSA_WITH_3DES_EDE_CBC_SHA (SWEET32)
Тип решения: Смягчение последствий
The configuration of this services should be changed so that it does not accept the listed cipher suites anymore.
Можно ли настроить, какие наборы шифров будут использоваться плагином управления RabbitMQ? Для RabbitMQ это возможно , но, глядя на rabbitmq_management.schema , кажется, что для модуля управления это невозможно. Или есть другой способ исправить уязвимость?