0


SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞加固指南

  1. 漏洞信息

序号

漏洞类型

风险等级

漏洞主机( 操作系统及版本)

1

SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞

linux

漏洞加固实施

漏洞1:SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)

漏洞详细

漏洞描述:

SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷。

漏洞引发的威胁:

它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。

加固方案

方案1:

**禁止apache服务器使用RC4加密算法 **

**vi /etc/httpd/conf.d/ssl.conf **

**修改为如下配置 **

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

方案2:

**关于nginx加密算法 **

**1.0.5及以后版本,默认SSL密码算法是HIGH:!aNULL:!MD5 **

**0.7.65、0.8.20及以后版本,默认SSL密码算法是HIGH:!ADH:!MD5 **

**0.8.19版本,默认SSL密码算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM **

**0.7.64、0.8.18及以前版本,默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP **

**低版本的nginx或没注释的可以直接修改域名下ssl相关配置为 **

**ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES **

**256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC **

**M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; **

**ssl_prefer_server_ciphers on; **

需要nginx重新加载服务

风险控制措施

整改时需要业务管理人员进行测试,测试前需要做好相关配置文件和数据的备份,以防止出现影响业务系统进行回退。

验证结果

整改完成后需要进行漏洞扫描验证;

其他说明

加固后,服务端不支持RC4加密算法,如客户端只支持RC4加密算法则无法访问服务端s。

标签: ssl 安全 网络

本文转载自: https://blog.csdn.net/vipee1/article/details/127506420
版权归原作者 乐大厨串串店 所有, 如有侵权,请联系我们删除。

“SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞加固指南”的评论:

还没有评论