SSL 3.0 安全漏洞修复方法

最新推荐文章于 2024-04-18 16:11:46 发布
最新推荐文章于 2024-04-18 16:11:46 发布
阅读量1.6k 收藏
点赞数
分类专栏: 信息安全 WEB开发 文章标签: 安全漏洞 ssl

SSL 3.0 安全漏洞修复方法

V2EX

谷歌今天披露了一个存在于 SSL 3.0 版本当中的安全漏洞,详细信息请访问:

https://www.openssl.org/~bodo/ssl-poodle.pdf

什么是 SSL3.0 Poodle漏洞?

SSL协议由美国 NetScape公司开发的, 1996年发布了V3.0版本。SSL 3.0 已经存在 15 年之久,目前绝大多数浏览器都支持该版本。通常用户的浏览器都使用新版本的安全协议与服务器进行连接,但如果遇到 bug 导致连接失败,就会转而尝试更老版本的安全协议进行连接,「更老版本」就包括SSL 3.0。

Poodle攻击的原理,就是黑客故意制造安全协议连接失败的情况,触发浏览器的降级使用 SSL 3.0,然后使用特殊的手段,从 SSL 3.0 覆盖的安全连接下提取到一定字节长度的隐私信息。



如何防范SSL3.0-Poodle漏洞?

建议您手动关闭客户端SSLv3支持;或者关闭服务器SSLv3支持;或者两者全部关闭,即可有效防范Poodle漏洞对您造成的影响。


关闭服务器SSLv3支持:


Nginx:

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

ssl_prefer_server_ciphers on;

ssl_ciphers ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256

SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE

RSA-AES128-SHA:RC4-SHA:!aNULL:!eNULL:!EXPORT:!DES:!3DES:!MD5:!DSS:!PKS;

ssl_session_timeout 5m;

ssl_session_cache builtin:1000 shared:SSL:10m;


Apache:

SSLProtocol all -SSLv2 -SSLv3

SSLHonorCipherOrder on

SSLCipherSuite ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256

SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-RC4-SHA:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA:DHE

RSA-AES128-SHA:RC4-SHA:!aNULL:!MD5:!DSS


关闭客户端SSLv3支持:


谷歌已表示chorme浏览器已经通过技术手段屏蔽浏览器自动降级至SSL3.0链接。手动关闭掉 SSL 3.0 支持的方法。

Windows 用户:

1)完全关闭 Chrome 浏览器

2)复制一个平时打开 Chrome 浏览器的快捷方式

3)在新的快捷方式上右键点击,进入属性

4)在「目标」后面的空格中字段的末尾输入以下命令 --ssl-version-min=tls1

Mac OS X 用户:

1)完全关闭 Chrome 浏览器

2)找到本机自带的终端(Terminal)

3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --ssl-version-min=tls1

Linux 用户:

1)完全关闭 Chrome 浏览器

2)在终端中输入以下命令:google-chrome—ssl-version-min=tls1

Firefox 浏览器用户可以进入关于:设置,方法是在地址栏输入 about:config,然后将 security.tls.version.min 调至 1。

方法引用自

http://www.wosign.com/news/SSLv3-Poodle.htm
本文由  黑白世界4648 第一时间收藏到 GET,原文来自 →  www.v2ex.com

GET社区由国内首家互联网人才拍卖网站 JobDeer.com 提供服务器资源

Jaafar_Chen
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
POODLE-simulation:SSLv3上的POODLE漏洞模拟
03-26
POODLE代表(P添加O racle O n D分级的Legacy E加密)。 在此漏洞中,攻击者必须是中间人(MiTM)。 当密码块链接与SSLv3.0结合使用时,需要填充以使密码块的大小恒定。 此攻击利用填充方法一次访问邮件中的1个字符。 这是对ssl v3协议中POODLE攻击的模拟。 为了进行概念验证,显示了有权访问加密邮件的攻击者如何使用此漏洞来解码邮件。 介绍: 该报告包含以下内容: 一般而言,SSL和有关v3.0的内容都集中在导致POODLE的事物上 关于POODLE,如何实施,其影响,防范措施。 在纸上将您实现为尝试利用此漏洞的攻击者,并解释您的代码及其细微差别 代码poodle.py包含带有sslv3协议的加密/解密功能。 并进一步演示了对协议的狮子狗攻击。 代码已被很好地记录下来,控制台上的打印输出可帮助您随时了解代码的状态。 前提条件: 代码是用Python
禁止服务器的协议,Windows 服务器禁用 SSL 2 和 SSL 3 协议
weixin_33356544的博客
07-31 3980
[TOCM]一、前言首先说明一下,SSL 2 和 SSL 3 协议是两种过时的协议,原因是它们存在很严重的漏洞,所以我们要在服务端禁用 SSL 2 和 SSL 3 协议,以避免一些安全问题。SSL 2 协议:漏洞名为 DROWN(溺水攻击 / 溺亡攻击)。DROWN 漏洞可以利用过时的 SSL 2 协议来解密与之共享相同 RSA 私钥的 TLS 协议所保护的流量。SSL 3 协议:漏洞名为 POO...
nginx配置ssl认证启用https加密(windows版)
阿瑟与非
01-23 3362
一、简介 nginx到客户端的连接通过HTTPS加密,实现了安全隔离。本文在windows中使用keytool生成证书和私钥实现ssl认证。 二、nginx开启server块的ssl 使用listen指令的ssl参数激活了SSL模块。 完整的配置: worker_processes 1; events { worker_connections 1024; } http { include mime.types; default_type applic
[055] SSL 3.0曝出Poodle漏洞的解决方案-----开发者篇
柳峰的专栏
11-03 3万+
SSL 3.0曝出高危险漏洞 2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,更让人不安的是几乎所有的浏览器都支持SSL 3.0协议。SSL 3.0的漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据,如网银账号、支付宝账号、个人隐私等等,后果的严重性相信不用我多说。 SSL 3.0的漏洞允许攻击者发起降级攻击,即欺骗浏览器说服务器不支持更安全的安全
[054] SSL 3.0曝出Poodle漏洞的解决方案-----网民篇
柳峰的专栏
11-02 1万+
2014年10月15日,Google研究人员公布SSL 3.0协议存在一个非常严重的漏洞,更让人不安的是几乎所有的浏览器都支持SSL 3.0协议。SSL 3.0的漏洞可被黑客用于截取浏览器与服务器之间进行传输的加密数据,如网银账号、支付宝账号、个人隐私等等,后果的严重性相信不用我多说。SSL 3.0的漏洞允许攻击者发起降级攻击,即欺骗浏览器说服务器不支持更安全的安全传输层(TLS)协议,然后强制其
漏洞分析---SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析
平凡之路
10-21 1万+
SSLv3降级加密协议Padding Oracle攻击(POODLE)技术分析   转自爱毒霸社区,原文链接:http://bbs.duba.net/thread-23222323-1-1.html   一、漏洞概述         SSL 3.0的历史非常久远,已经有将近15年了,现今几乎所有的浏览器都支持该协议。今天该协议爆出了一个漏洞,该漏洞由谷歌公司率先发现,下面是此漏洞的大致描...
禁用 ssl/tls v1和1.1 协议
haiziccc的专栏
05-26 5940
PCI DSS合规标准于2018年6月30日生效,该标准要求禁用SSL协议和低版本TLS协议。 具体如何操作呢,针对haproxy代理服务器和openshift router分别进行讲解。 1.haproxy服务器需要修改/etc/haproxy/haproxy.cfg,如下图,添加no-sslv3 no-tlsv10 no-tlsv11 重启haproxy服务,systemctl restart haproxy 2.opesnhift router禁用低版本协议 haproxy route.
Apache停用SSL1.0、SSL2.0、TLS3.0
Alice的博客
11-12 3133
SSL3.0版本被视为是不安全的。它使用RC4加密或CBC模式加密,前者易受偏差攻击,后者会导致POODLE攻击。 apache关闭SSL2.0、SSL3.0、TLS1.0步骤: 1 、找到http.conf配置文件,并将#LoadModule ssl_module modules/mod_ssl.so的"#"删除后存储文件 2、找到为httpd-ssl.conf的档案并打开文件,搜寻SSLEng...
关闭SSL的验证
DaturaJie的专栏
01-07 2757
异常: Exception in thread "main" javax.net.ssl.SSLHandshakeException: sun.security.validator.ValidatorException: PKIX path building failed: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested targ
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 20万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
禁用ssl2.0、ssl3.0
04-17
Windows Server 2008 /2012 中使用IIS 7 /8默认允许SSL 2.0和SSL 3.0,如果需要禁用的话可采取文档中方法
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Linux下Nginx安全证书ssl配置方法
01-20
分享下我是如何一步步在Nginx上配置SSL的。首先,确保安装了OpenSSL库,并且安装Nginx时使用了–with-http_ssl_module参数。 初学者或者菜鸟建议使用LNMP进行一键安装。 生成证书:进入要生成证书的目录cd /usr/...
SSL.rar_ssl_安全
09-24
实现SSL编程,有利于更好的使用OpenSSL工具去编写更多的网络安全协议
死磕GMSSL通信-java/Netty系列(三)
qq_36577699的博客
04-18 230
Netty集成GMSSL实现SSL Server
boot https ssl
I do more ,you do less
04-15 246
【代码】boot https ssl
已解决java.security.cert.CertificateException: 证书异常的正确解决方法,亲测有效!!!
小明的Java问道之路
04-15 585
已解决java.security.cert.CertificateException: 证书异常的正确解决方法,亲测有效!!!
Java发送邮件 启用SSL
最新发布
技术分享
04-18 11
Java发送邮件 启用SSL
死磕GMSSL通信-C/C++系列(一)
qq_36577699的博客
04-12 1067
​ GmSSL这个库的问题很多,发现许多库和它都不能正常通信,都需要修改代码,不是修改客户端就是修改服务端,而且这个开源项目基本处于不维护的状态,如果准备集成的GM通信的,优先选择。最近再做国密通信的项目开发,以为国密也就简单的集成一个库就可以完事了,没想到能有这么多坑。理论上客户端和服务端的证书应该是俩套,也可以直接客户端和服务器用一样的证书,我这里直接用了一套,大家可以自行测试俩套的。这里就不提供证书生成的过程了,网上生成的教程很多,GMSSL需要五个证书。1、经过最近几天的测试,发现。
SSL2.0和3.0漏洞修复方式
06-13
SSL2.0和SSL3.0是已经被证明存在安全漏洞的旧版SSL协议,通常不建议使用。如果必须使用SSL2.0或SSL3.0,可以采取以下措施来修复它们的漏洞: 1. 禁用SSL2.0和SSL3.0协议:禁用这两个不安全的协议是最好的解决方法。这可以通过服务器配置文件或者浏览器设置来完成。 2. 更新SSL证书:如果必须使用SSL2.0或SSL3.0,更新SSL证书可以提高安全性。新的证书通常包含更强的加密算法和更好的安全性能。 3. 更新SSL库:更新SSL库可以修复一些已知的SSL漏洞,并提供更好的安全性能。 4. 使用更安全的TLS协议:TLSv1.2和TLSv1.3是当前最安全的TLS协议,使用它们可以提高安全性。 5. 使用加密套件:使用更强的加密套件,如AES和RSA,可以提高安全性。 6. 定期更新和监测:定期更新SSL证书和SSL库,并监测SSL漏洞,可以及时发现并解决安全问题。 总之,禁用SSL2.0和SSL3.0是最好的解决方法,同时也应该使用更安全的TLS协议和加密套件来提高安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值