服務器被綠盟軟件掃描出存在SSL/TLS漏洞,
| SSL/TLS協議是一個被廣泛使用的加密協議,Bar Mitzvah攻擊實際上是利用了"不變性漏洞",這是RC4算法中的一個缺陷,它能夠在某些情況下泄露SSL/TLS加密流量中的密文,從而將賬戶用戶名密碼,信用卡數據和其他敏感信息泄露給黑客。 |
|
| 安全套接層(Secure Sockets Layer,SSL),一種安全協議,是網景公司(Netscape)在推出Web瀏覽器首版的同時提出的,目的是爲網絡通信提供安全及數據完整性。SSL在傳輸層對網絡連接進行加密。傳輸層安全(Transport Layer Security),IETF對SSL協議標準化(RFC 2246)後的產物,與SSL 3.0差異很小。 SSL/TLS內使用的RC4算法存在單字節偏差安全漏洞,可允許遠程攻擊者通過分析統計使用的大量相同的明文會話,利用此漏洞恢復純文本信息。 |
|
以上漏洞給出的修復建議是關閉RC4算法。
各個部署應用關閉RC4的方法如下:
|
1、禁止apache服務器使用RC4加密算法 vi /etc/httpd/conf.d/ssl.conf 修改爲如下配置 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4 重啓apache服務
2、關於nginx加密算法 1.0.5及以後版本,默認SSL密碼算法是HIGH:!aNULL:!MD5 0.7.65、0.8.20及以後版本,默認SSL密碼算法是HIGH:!ADH:!MD5 0.8.19版本,默認SSL密碼算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM 0.7.64、0.8.18及以前版本,默認SSL密碼算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP 低版本的nginx或沒註釋的可以直接修改域名下ssl相關配置爲 ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES 256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; ssl_prefer_server_ciphers on; 需要nginx重新加載服務
3、關於lighttpd加密算法 在配置文件lighttpd.conf中禁用RC4算法,例如: ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4" 重啓lighttpd 服務。
4、tomcat參考: https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html
5、瀏覽器手工屏蔽方案 Windows 用戶: 1)完全關閉 Chrome 瀏覽器和Mozilla Firefox瀏覽器 2)複製一個平時打開 Chrome 瀏覽器(Mozilla Firefox瀏覽器)的快捷方式 3)在新的快捷方式上右鍵點擊,進入屬性 4)在「目標」後面的空格中字段的末尾輸入以下命令 --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 Mac OS X 用戶: 1)完全關閉 Chrome 瀏覽器 2)找到本機自帶的終端(Terminal) 3)輸入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 Linux 用戶: 1)完全關閉 Chrome 瀏覽器 2)在終端中輸入以下命令:google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
|
|
IIS關閉rc4算法的介紹參考:https://support.microsoft.com/zh-cn/help/2868725/microsoft-security-advisory-update-for-disabling-rc4
以上對iis關閉rc4算法做了測試,並沒有解決。
觀察了綠盟軟件掃描該漏洞的端口,發現是遠程桌面的端口。所以並不是iis部署項目的漏洞。而是遠程桌面的漏洞。
於是找到了下面的解決方案。https://cloud.tencent.com/info/eccafa62b76dff0600a6a59e99165234.html
完美解決。
