关于安全漏洞:CVE20162183-修复过程亲测有效

121次阅读

共计 727 个字符,预计需要花费 2 分钟才能阅读完成。

  1. 问题形容

SSL/TLS 协定信息泄露破绽 (CVE-2016-2183)

TLS 是平安传输层协定,用于在两个通信应用程序之间提供保密性和数据完整性。
TLS, SSH, IPSec 协商及其他产品中应用的 DES 及 Triple DES 明码存在大概四十亿块的生日界,这可使近程攻击者通过 Sweet32 攻打,获取纯文本数据。

2. 问题解决过程

首先从这个破绽介绍中得悉

  • https://www.openssl.org/news/secadv/20160922.txt

OpenSSL 1.1.0 当前没有此破绽,并且本地的 openssl 版本高于 1.1.0

换个思路去找问题

通过上面链接理解 nmap 扫描工具能够晓得破绽的起源 (复测)

  • https://www.e-learn.cn/topic/3756431

nmap 装置形式请另行百度 (案例的服务器是 redhat, 去官网下载的 rpm 包,rpm -ivh 包就装置胜利了)

通过上面的命令失去后果
nmap -sV –script ssl-enum-ciphers -p 443 www.example.com (ip 也能够)

发现 3DES 加密是 C 级别的, 并且有个 warning 跟 CVE-2016-2183 的形容大略统一

3. 解决问题

  • https://blog.csdn.net/warrior_wjl/article/details/25000541

通过配置 nginx 的设置 ssl_ciphers HIGH:!aNULL:!MD5:!3DES;
注: !3DES 是后增加的过滤

之后 nginx -t 查看配置文件
nginx -s reload 重启 nginx

4. 复测
nmap -sV –script ssl-enum-ciphers -p 443 www.example.com (ip 也能够)

问题解决

正文完
 0