k8s安全测评漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

最新推荐文章于 2024-05-21 23:23:05 发布
最新推荐文章于 2024-05-21 23:23:05 发布
阅读量1k 收藏 9
点赞数 26
文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Yang_RR/article/details/138616193
版权

一、问题复现

漏洞详细信息:

漏洞概况:

漏洞原因:

k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。

复现方法:

服务器上安装nmap:

#官网下载:https://nmap.org/dist/nmap-7.93-1.x86_64.rpm,上传后安装:
rpm -ivh nmap-7.93-1.x86_64.rpm

#执行检测
nmap --script ssl-enum-ciphers -p 10250 10.165.3.45

Nmap scan report for yfdxvm000003164.novalocal (10.165.3.45)
Host is up (0.000066s latency).

PORT      STATE SERVICE
10250/tcp open  unknown
| ssl-enum-ciphers: 
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
      warnings:
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|   TLSv1.3: 
|     ciphers: 
|       TLS_AKE_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_AKE_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
|       TLS_AKE_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|     cipher preference: server
|_  least strength: C

Nmap done: 1 IP address (1 host up) scanned in 0.43 seconds

扫描结果重点关注warnings,64-bit block cipher 3DES vulnerable to SWEET32 attack,漏洞修复成功则没有该项提示。

二、漏洞修复

k8s主节点:

etcd修复:

修改配置文件/etc/kubernetes/manifests/etcd.yaml,增加如下配置:

--cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA

增加后的截图:

增加后etcd漏洞即修复成功

nmap --script ssl-enum-ciphers -p 2380 10.165.3.45

可以看到没有了warnings这项了

kube-apiserver修复:

修改配置文件/etc/kubernetes/manifests/kube-apiserver.yaml,增加一行:

- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA

如图所示:

增加后kube-apiserver漏洞即修复成功

nmap --script ssl-enum-ciphers -p 6443 10.165.3.45

可以看到没有了warnings这项了

修复kubelet:

修改配置文件/var/lib/kubelet/config.yaml,增加一行配置:

tlsCipherSuites: [TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA]

如图所示:

重启服务:

systemctl restart kubelet

在执行检查

nmap --script ssl-enum-ciphers -p 10250 10.165.3.45

可以看到没有了warnings这项了

k8s从节点:

只需要修复最后一项即可

修复kubelet:

修改配置文件/var/lib/kubelet/config.yaml,增加一行配置:

tlsCipherSuites: [TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA]

如图所示:

重启服务:

systemctl restart kubelet

在执行检查

nmap --script ssl-enum-ciphers -p 10250 10.165.3.45

可以看到没有了warnings这项了

Yang_RR
关注
  • 26
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSL到OpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞(OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSL到OpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供升级脚本及升级所用安装包供大家参考
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 21万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
最新发布
冰恋云的专栏
05-21 3078
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
服务器漏洞修复之SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
tootsy_you的博客
06-14 7722
具有足够资源的中间人攻击者可利用此漏洞,通过“birthday”攻击检测会在固定密码与已知纯文本之间泄露 XOR 的冲突,进而泄露密码文本(例如安全 HTTPS Cookie),并可能导致劫持经认证的会话。请注意,在客户端和服务器之间通过相同的 TLS 连接发送大量请求的能力,是发动此攻击的重要条件。如果单个链接允许的请求数量有限,则会减轻该漏洞的严重性。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。
修复 K8s SSL/TLS 漏洞CVE-2016-2183)指南
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
林中明月间丶
11-24 3645
由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。3、在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。修改后,点击“应用”、“确定”,即可。4、重启服务器即可。
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
SSL/TLS协议信息泄露漏洞(CVE - 2016 - 2183)/SWEET32漏洞修复工具
08-28
用于移除系统中可能存在的脆弱加密套件 支持win7及以上系统,包括Server版本 需要手动重启后生效
IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具
03-22
**IISCrypto:SSL/TLS协议安全配置工具** ...IISCrypto 是一款专为Windows服务器(如Windows 2008、2012、2016)设计的实用工具,用于解决SSL(Secure Sockets Layer)和TLS(Transport Layer Security)协议安全问题...
K8S组件SWEET32 CVE-2016-2183漏洞修复方案 —— 筑梦之路
筑梦之路
11-25 2509
涉及得组件:kubelet kube-apiserver etcd。去掉3DES弱加密算法,其他加密算法保留。
Rancher v2.4.5 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
小康子的博客
12-14 7216
最近服务器被“绿盟科技”扫出该漏洞,具体是由于 Rancher 组件 etcd 版本过低造成的。 1. 升级服务器 openssl 版本 首先查看服务器 openssl 版本,升级到 1.1.1 即可,具体参考 升级 CentOS 7 openssl 版本openssl version 升级前OpenSSL 1.0.2k-fips 26 Jan 2017 升级后OpenSSL 1.1.1h 22 Sep 2020 2. 使用 testssl.sh 工具测试 testssl.sh 测.
k8s漏洞-CVE-2016-2183修复
weixin_45912745的博客
10-10 2476
k8s漏洞-CVE-2016-2183修复
CVE-2016-2183
龙卷风摧毁停车场
03-07 5693
TLS, SSH, IPSec 协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。该漏洞又称为 SWEET32,是对较旧的分组密码算法的攻击,使用 64 位的块大小,缓解 SWEET32 攻击 OpenSSL 1.0.1 和 OpenSSL 1.0.2 中基于 DES 密码套件从“高”密码字符串组移至“中”;但 OpenSSL 1.1.0 发布时自带这些,默认情况下禁用密码套件。
Let‘s Encrypt+nginx之漏洞 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
wo240的专栏
12-18 5382
根据漏洞扫描的提示查看官网给出的解释,如下: SWEET32 Mitigation (CVE-2016-2183) SWEET32 (https://sweet32.info) is an attack on older block cipher algorithms that use a block size of 64 bits. In mitigation for the SWEET32 attack DES based ciphersuites have been moved from the HI
Windows Server 2012 R2 解决:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
11-15
以下是Windows Server 2012 R2解决SSL/TLS协议信息泄露漏洞(CVE-2016-2183)的原理扫描方法: 1.使用PowerShell打开命令行窗口。 2.运行以下命令,以检查是否存在漏洞: ```powershell $ErrorActionPreference = "Stop" $RegKey = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.0\Server" $RegValue = "Enabled" If (!(Test-Path $RegKey)) {Write-Host "TLS 1.0 Server not found"; Exit} If ((Get-ItemProperty $RegKey).$RegValue -ne "1") {Write-Host "TLS 1.0 Server not enabled"; Exit} $RegKey = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.1\Server" If (!(Test-Path $RegKey)) {Write-Host "TLS 1.1 Server not found"; Exit} If ((Get-ItemProperty $RegKey).$RegValue -ne "1") {Write-Host "TLS 1.1 Server not enabled"; Exit} $RegKey = "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Server" If (!(Test-Path $RegKey)) {Write-Host "TLS 1.2 Server not found"; Exit} If ((Get-ItemProperty $RegKey).$RegValue -ne "1") {Write-Host "TLS 1.2 Server not enabled"; Exit} Write-Host "TLS 1.0/1.1/1.2 Server enabled" ``` 3.如果输出结果为“TLS 1.0/1.1/1.2 Server enabled”,则表示您的系统已经修复了该漏洞。如果输出结果为其他内容,则需要按照引用或引用中提供的方法进行修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值