また OpenSSL に脆弱性が。
SSLv3 POODLE Vulnerability Official Release
$ openssl s_client -connect cro-pel.com:443 -ssl3
みたいなことをした時に、handshake failure にならずに OpenSSL v3 でお話できてしまう脆弱性らしい。
単純に v3 を disable すれば良いようで、/etc/httpd/conf/httpd.conf に以下を記述。
SSLProtocol All -SSLv2 -SSLv3
参考: http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
これでひとまずは対策できた。
それにしても「SSLv3の使用をやめて下さい。パッチはありません。その耐用年数が終わりを迎えたのです。」って…