Openssl漏洞 注意‘FREAK’ SSL 漏洞

最新推荐文章于 2024-01-02 11:40:34 发布
最新推荐文章于 2024-01-02 11:40:34 发布
阅读量1.6k 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/levy_cui/article/details/51140998
版权
概要
法国国家信息与自动化研究所与MS公司发现了通过SSL使强制地降为易受攻击的RSA的漏洞。
※ CVE-2015-0204 : 作为OpenSSL s3_clnt.c的 ssl3_get_key exchange 函数中发生的漏洞,由于攻击者通过MITM(Man In The Middle Attack)使降为 512bit RSA从而可以使信息泄露   


相应系统
受到影响的系统 
Openssl 0.9.8   0.9.8zd 以前版本 
Openssl 1.0.0   1.0.0p 以前版本
Openssl 1.0.1   1.0.1k 以前版本

参考内容
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204

OpenSSL 源码安装方法
# ./config --prefix=/usr/local/openssl
# make && make install

1、下载地址:http://www.openssl.org/source/ 下一个新版本的OpenSSL,我下的版本是:openssl-0.9.8ze.tar.gz
 
2、在下载的GZ目录中,用命令执行:tar -xzf openssl-0.9.8ze.tar.gz
 
3、进入解压的目录:openssl-1.0.0e  [.......]#cd openssl-0.9.8ze
 
4、[..openssl-1.0.0e]# ./config --prefix=/usr/local/openssl
 
5、[../openssl-1.0.0e]# make
 
6、[../openssl-1.0.0e]# make install
 
7、[../openssl-1.0.0e]# cd /usr/local
 
8、/usr/local]# ln -s openssl ssl
 
9、在/etc/ld.so.conf文件的最后面,添加如下内容:
 
/usr/local/openssl/lib
 
10、[...]# ldconfig
 
11、添加OPESSL的环境变量:
 
在etc/的profile的最后一行,添加:
 
export OPENSSL=/usr/local/openssl/bin
 
export PATH=$OPENSSL:$PATH:$HOME/bin
 
12、退出命令界面,再从新登录。
 
13、以上OPENSSL就安装完毕,下面进行一些检查。
 
14、依次如下执行:
 
[root@localhost /]# cd /usr/local
 
[root@localhost local]# ldd /usr/local/openssl/bin/openssl
 
会出现类似如下信息:
 
        linux-gate.so.1 =>  (0x00a31000)
        libdl.so.2 => /lib/libdl.so.2 (0x00653000)
        libc.so.6 => /lib/libc.so.6 (0x004ca000)
        /lib/ld-linux.so.2 (0x004ab000)



15、查看路径

...]# which openssl
/usr/local/openssl/bin/openssl
 
16、查看版本
...]# openssl version
OpenSSL 0.9.8ze 15 Jan 2015

TURING.DT
关注
sslv3漏洞修复服务器端,SSL V3漏洞修复 网站SSL安全漏洞修复指南
weixin_42223667的博客
08-10 1027
Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export cipher suites supported)4、The POODLE ataack(SSLV3 supported)5、SSL 2.0 deprecated protoc...
OpenSSL相关漏洞
墨鱼菜鸡
05-31 696
目录 心脏出血漏洞(CVE-2014-0160) OpenSSL CCS注入漏洞(CVE-2014-0224) OpenSSL FREAK Attack漏洞(CVE-2015-0204) TLS/SSL协议RC4算法漏洞(CVE-2013-2566) SSLv3 POODLE攻击信息泄露漏洞(CV...
FREAK-Attack-CVE-2015-0204-Testing-Script:根据 Akamai 的建议,针对 FREAK 攻击 (CVE-2015-0204) 自动执行基于 OpenSSL 的测试的基本 BASH 脚本
06-20
FREAK 攻击 CVE 20150204 测试脚本 根据 Akamai 的建议,针对 FREAK 攻击 (CVE-2015-0204) 自动执行基于 OpenSSL 的测试的基本 BASH 脚本。 它是一个免费软件,不需要别人的服务器来运行。 您的服务器在正常情况下必须通过 SSL Labs 测试获得 A+ 的分数,应列为 HSTS Preload Listed 网站以提高安全性。 除了知名的网络服务提供商,不要在 SSL Lab 上的某些母亲 f$$$$$$r 的服务器上测试您自己的网站。 首先测试该服务器,在他们的网站上发现安全漏洞并不罕见。 该脚本是按照 Akamai 描述的方法编写的。 我为我们的服务器写的。 您不应该抱怨它,因为它是 100% 的免费软件。 通常在 SSL 实验室测试中,您会在设置良好的情况下获得 A+。 使用此脚本随意测试任何额外问题。 坦率地说,大多数网
Openssl FREAK 中间人劫持漏洞 - 解决方案
weixin_30315905的博客
03-31 107
openssl升级步骤: 环境CentOS 1 wget http://www.openssl.org/source/openssl-1.0.2a.tar.gz 2 tar zxvf openssl-1.0.2a.tar.gz 3 cd openssl-1.0.2a 4 ./config --prefix=/usr/local/ssl 5 make &&am...
警惕!Windows或受FREAK SSL漏洞影响
ONE PIECE
03-17 864
FREAK安全漏洞允许攻击者对安全套接层(简称SSL)与安全传输层(简称TLS)之间的加密连接实施中间人攻击,这一利用过期密码的攻击手段已经被受害方证实有效。而这一次,微软的Secure Channel堆栈亦未能幸免。   “微软已经意识到其Secure Channel(Schannel)当中存在安全功能规避漏洞,其能够影响到全部受支持的微软Windows版本,”微软公司在一份安
FREAK漏洞可能破坏网络加密机制
weixin_34220623的博客
09-01 179
漏洞的影响范围包括应用范围广泛的安全套接层协议及其继任机制安全传输层协议。 专家目前正就一项严重安全漏洞发出正式警告,该漏洞显然已经经历了多年潜伏,并有可能削弱往来于计算机及网站之间的加密连接、甚至会给整个互联网的安全状态带来潜在威胁。 这一被称为FREAK的安全漏洞之影响范围包括应用范围广泛的安全套接层协议及其继任机制安全传输层协议,可能允许攻击者...
漏洞通告 | OpenSSL RSA远程代码执行漏洞
zz_tech的博客
07-13 452
众至实验室漏洞通告OpenSSL RSA远程代码执行漏洞
freakIsChic:检查 freak ssl 漏洞的脚本
06-20
标题中的“freakIsChic”是一个用于检测“FREAKSSL漏洞的脚本,而“FREAK漏洞是2015年发现的一个安全漏洞,全称为“Factoring RSA Export Keys”,意即RSA出口密钥因子化漏洞。这个漏洞主要影响使用了特定版本的...
rc4加密问题漏洞修复_「ssl漏洞」网站SSL安全漏洞修复指南
weixin_32022555的博客
12-24 2254
前段时间对公司的网站进行了一下扫描,使用的是awvs扫描器,发现了几处SSL方面的安全漏洞,网上找了一些修复的建议,分享给大家,如果你也遇到和我一样的问题,可以用此修复。Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export ci...
TLS/SSl相关的攻击漏洞及检测方法大杂烩!
热门推荐
SoulCat
05-31 1万+
TLS/SSl攻击漏洞及检测大全 曾以为爱可以排除万难,可万难过后,又有万难。 漏洞介绍: TLS/SSL介绍: SSL“安全套接层”协议,TLS“安全传输层”协议,都属于是加密协议,在其网络数据传输中起到保护隐私和数据的完整性。保证该网络传输的信息不会被未经授权的元素拦截或修改,从而确保只有合法的发送者和接收者才能完全访问并传输信息。 TLS/SSL主要漏洞介绍: 1、 OpenSSL C...
shodan手册
03-05
shodan使用手册说明文档,内容为中文翻译文档。Shodan则通过来自各种设备的HTTP header以及其它标志性信息进行检索。Shodan可以收集这些设备的信息,并根据其所属国家、操作系统、品牌以及许多其它属性进行分类。
针对OpenSSL安全漏洞调整Nginx服务器的方法
09-30
主要介绍了针对OpenSSL漏洞调整Nginx服务器的方法,2014年爆出的SSL安全漏洞震惊了全世界,需要的朋友可以参考下
Nginx的相关配置及漏洞
weixin_54347738的博客
08-11 660
通过证书申请文件拿着私钥去申请证书。(1)生成key私钥密码(随机填写):123456(2)拿着私钥构造证书申请文件(3)证书申请文件+私钥去申请证书(4)证书的使用在需要使用证书的nginx配置文件的server节点里加入以下配置:#https默认使用443端口 server_name 0.0.0.0;#将0.0.0.0替换为你的网站域名或ipssl on;ADH:!
基于Nginx关于OpenSSL漏洞的修复过程再说说编译过程
kitgenius的博客
02-08 599
OpenSSL这个库应用非常广泛,实际业务环境中使用广泛的Nginx、SSH都有用到,一旦使用了漏洞版本则可能产生安全问题。之前在公众号发布过《一个关于OpenSSL和Nginx的漏洞修复过程》和《Nginx编译并动态链接OpenSSL库》,上述两文中编译安装了Nginx。本文对动态编译Nginx程序时链接不同版本的OpenSSL库进行对比说明,并深入一点说说实验中的编译过程。
脆弱的SSL加密算法漏洞原理以及修复方法
最新发布
it知识分享 free for nothing..
01-02 5522
脆弱的SSL加密算法漏洞原理以及修复方法
SSL/TSL漏洞Freak,可致数百万苹果、安卓用户隐私泄露
IT技术
03-09 318
近日,法国安全公司Inria以及微软发现了一存在十多年的SSL/TSL 漏洞Freak,它可让数以百万的Apple、Android 用户在造访诸如白宫、FBI、NSA 等所谓安全网站时被动暴露在对加密流量的中间人攻击攻击中。 Freak 漏洞主要是让黑客或情报机构能够执行加密降级攻击,送出弱密码金钥,以便破解加密防护。用这种方法破解加密流量遭后,黑客得以获取到用户塬本以为十分安全的通讯内容。...
OpenSSL 代码问题漏洞(CVE-2020-1971)(CVE-2020-1967)
lanren312的博客
06-23 3970
突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.org/news/secadv/20200421.txt文档中指出:这些版本的用户应升级到 OpenSSL 1.1.1。Openssl OpenSSL 代码问题漏洞(CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.
脆弱的SSL加密算法问题
发哥微课堂
09-07 7052
0x00:漏洞介绍 脆弱的 SSL 加密算法也可以叫它 openssl 的 FREAK Attack 漏洞。有两三年的年头了,CVE 是 CVE-2015-0204,网站或软件支持低强度的加密协议,包括低版本的 openssl,就会存在此问题。其实就是 https 的网站,加密等级比较低,就会存在这个 SSL 弱加密问题。危害就是由于 OpenSSL 库里的 s3_clnt.c 文件中,ssl3...
浅谈“脆弱的SSL加密算法“
→_→
07-06 7871
一:漏洞名称: 弱加密算法、脆弱的加密算法、脆弱的SSL加密算法、openssl的FREAK Attack漏洞 描述: 脆弱的SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低强度加密算法在当年是非常安全的,但时过境迁,飞速发展的技术正在让其变得脆弱。黑客可利用SSL弱加密算法漏洞进行SSL中间人攻击,即强迫服务器和用户之间使用低强度的加密方式,然后再通过暴力破解,窃取传输内容。强度较弱的加密算法将不能较好的保证通...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值