- 1pytorch和Numpy的区别以及相互转换_pytorch tensor类型数据 x.data.numpy()与x.numpy()区别
- 2leetcode: 223. 矩形面积_矩形面积力扣c语言
- 3ZYNQ 在Linux系统层上通过DMA传输数据(安装控制DMA驱动的设备驱动)_bad fit kernel image format
- 4IOS 使用itms-services协议,服务端安装应用
- 5Eclipse cannot be resolved错误的解决_undle 'org.eclipse.draw2d' cannot be resolved
- 6Could not find a version that satisfies the requirement PIL (from versions: ) No matching distributi
- 7准备给ubuntu18.04安装杀毒软件_火绒 ubuntu
- 8【Elasticsearch 7.x升级8.x】代码兼容多版本ES过渡方案_elasticsearch7升级到8
- 9数据结构与算法 算法分析_数据结构与算法分析
- 10Rust 基金会的商标政策更新引发社区争议
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞加固指南
赞
踩
| 序号 | 漏洞类型 | 风险等级 | 漏洞主机( 操作系统及版本) |
| 1 | SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞 | 中 | linux |
漏洞1:SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
漏洞详细
漏洞描述:
SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷。
漏洞引发的威胁:
它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。
加固方案
方案1:
禁止apache服务器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改为如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
方案2:
关于nginx加密算法
1.0.5及以后版本,默认SSL密码算法是HIGH:!aNULL:!MD5
0.7.65、0.8.20及以后版本,默认SSL密码算法是HIGH:!ADH:!MD5
0.8.19版本,默认SSL密码算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
0.7.64、0.8.18及以前版本,默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
低版本的nginx或没注释的可以直接修改域名下ssl相关配置为
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
需要nginx重新加载服务
风险控制措施
整改时需要业务管理人员进行测试,测试前需要做好相关配置文件和数据的备份,以防止出现影响业务系统进行回退。
验证结果
整改完成后需要进行漏洞扫描验证;
其他说明
加固后,服务端不支持RC4加密算法,如客户端只支持RC4加密算法则无法访问服务端s。
