k8s安全测评漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

最新推荐文章于 2025-09-29 09:15:00 发布
原创 最新推荐文章于 2025-09-29 09:15:00 发布 · 2.2k 阅读 · 12 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #网络 #web安全

一、问题复现

漏洞详细信息:

漏洞概况:

漏洞原因:

k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。

复现方法:

服务器上安装nmap:

#官网下载:https://nmap.org/dist/nmap-7.93-1.x86_64.rpm,上传后安装:
rpm -ivh nmap-7.93-1.x86_64.rpm

#执行检测
nmap --script ssl-enum-ciphers -p 10250 10.165.3.45

Nmap scan report for yfdxvm000003164.novalocal (10.165.3.45)
Host is up (0.000066s latency).

PORT      STATE SERVICE
10250/tcp open  unknown
| ssl-enum-ciphers: 
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (ecdh_x25519) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (ecdh_x25519) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
      warnings:
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|   TLSv1.3: 
|     ciphers: 
|       TLS_AKE_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
|       TLS_AKE_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
|       TLS_AKE_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
|     cipher preference: server
|_  least strength: C

Nmap done: 1 IP address (1 host up) scanned in 0.43 seconds

扫描结果重点关注warnings,64-bit block cipher 3DES vulnerable to SWEET32 attack,漏洞修复成功则没有该项提示。

二、漏洞修复

k8s主节点:

etcd修复:

修改配置文件/etc/kubernetes/manifests/etcd.yaml,增加如下配置:

--cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA

增加后的截图:

增加后etcd漏洞即修复成功

nmap --script ssl-enum-ciphers -p 2380 10.165.3.45

可以看到没有了warnings这项了

kube-apiserver修复:

修改配置文件/etc/kubernetes/manifests/kube-apiserver.yaml,增加一行:

- --tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA

如图所示:

增加后kube-apiserver漏洞即修复成功

nmap --script ssl-enum-ciphers -p 6443 10.165.3.45

可以看到没有了warnings这项了

修复kubelet:

修改配置文件/var/lib/kubelet/config.yaml,增加一行配置:

tlsCipherSuites: [TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA]

如图所示:

重启服务:

systemctl restart kubelet

在执行检查

nmap --script ssl-enum-ciphers -p 10250 10.165.3.45

可以看到没有了warnings这项了

k8s从节点:

只需要修复最后一项即可

修复kubelet:

修改配置文件/var/lib/kubelet/config.yaml,增加一行配置:

tlsCipherSuites: [TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA]

如图所示:

重启服务:

systemctl restart kubelet

在执行检查

nmap --script ssl-enum-ciphers -p 10250 10.165.3.45

可以看到没有了warnings这项了

Yang_RR
关注
Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183) --亲测
冰恋云的专栏
11-27 1万+
打开服务器,运行gpedit.msc,打开“本地编辑器”,依次打开计算机配置-管理-网络-配置设置。打开“SSL密码套件顺序”,更改为已启用,并修改套件,去掉TLS1.1版本算法。替换成以上内容,重启,复扫,OK。
CVE-2016-2183修复方法
weixin_67900048的博客
04-22 3114
关闭了3DES的加密套件不会所提到的这些机器造成影响,禁用3DES-CBS的加密套件后客户端与server 建立TLS时,仅是无法使用包含3DES的加密套件。客户端和服务器中都存在相应的密码套件,在建立连接的时候,他们会进行协商,如果服务器端不能使用3DES的适合,他们会去协商使用其他的密码套件,当找到相应的密码套件时才会建立连接,密码套件不止3DES一种,下面介绍了不同的密码套件类型;该TLS加密套件的安全问题,建议将DES及3DES的加密套件禁用。
CVE-2016-2183漏洞,主要针对k8s的2379,2380,6443,10250端口的漏洞修复总结
11-25
CVE-2016-2183漏洞,主要针对k8s的2379,2380,6443,10250端口的漏洞修复总结。
kubernetes的etcd、kubelet和kube-api CVE-2016-2183 漏洞解决
wisheen的专栏
08-15 4144
kubernetes etcd kubelet kube-api CVE-2016-2183 漏洞解决
Nginx解决SSL/TLS协议信息泄露漏洞CVE-2016-2183
最新发布
https://ophome.blog.csdn.net,在IT行业有多年的工作经验,尤其是在Python、Linux、负载均衡、Nginx和服务器运维等领域。
09-29 717
Nginx解决SSL/TLS协议信息泄露漏洞CVE-2016-2183
修复 K8s SSL/TLS 漏洞CVE-2016-2183)指南
KubeSphere
02-21 2万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
k8s对外攻击面总结
ATpiu的博客
12-19 1万+
k8s对外攻击面总结/k8s漏洞
Sweet32漏洞,升级openssl或者禁用3DES和DES弱加密算法
u010674101的专栏
09-27 1万+
解决办法有两个,一个是升级OpenSSL 1.0.2k-fips 26 Jan 2017 以上,另外一个是更新nginx配置,禁用3DES和DES弱加密算法。本次介绍第二种方法,更新nginx配置禁用3DES和DES弱加密算法,然后nginx -s reload即可。如何不喜欢使用nmap,也可以使用如下工具testssl.sh,但是输出的内容太多了,本次我只截取部分。第一个比较麻烦,影响面积比较广,centos7 上,大多数教程都是需要自行编译,影响线上环境。由于等保的原因,被服务商扫描出漏洞
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
林中明月间丶
11-24 5791
由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。3、在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-网络-SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。修改后,点击“应用”、“确定”,即可。4、重启服务器即可。
linux 上SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
冰恋云的专栏
05-21 9625
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
06-09
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Windows系统修复SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)
baidu_25691461的博客
12-10 6058
windows机器检查出现问题:SSLTLS协议信息泄露漏洞CVE-2016-2183),并且是高危漏洞,必须修复
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 26万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
Linux漏洞SSL/TLS协议信息泄露漏洞(CVE-2016-2183) - 非常危险(7.5分) 解决办法!升级openssl
qq_41867674的博客
05-28 3218
查看openssl版本 openssl version -a会显示全面详细信息。3、配置openssl安装目录。2、解压openssl。6、添加动态链接库数据。8、验证openssl
漏洞修复---SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
西瓜的博客
09-14 2904
下载最新版本 【当前我下载的版本为 openssl-1.1.1q】2.将压缩包上传到linux服务器。1.查看当前openssl版本。4. 移除老版本openssl
k8s SSL/TLS 协议信息泄露漏洞(CVE-2016-2183) 修复
12-13
CVE-2016-2183 是一个影响 SSL/TLS 协议安全漏洞,称为“SLOTH”攻击。这个漏洞允许攻击者通过中间人攻击(MITM)来破解加密通信,从而获取敏感信息。为了修复这个漏洞,以下是一些常见的步骤: 1. **更新 OpenSSL**: 确保你的系统使用的是最新版本的 OpenSSL。旧版本的 OpenSSL 可能存在这个漏洞。可以通过以下命令更新 OpenSSL: ```bash sudo apt-get update sudo apt-get install --only-upgrade openssl ``` 2. **禁用弱密码套件**: 在你的 Kubernetes 配置文件中禁用弱密码套件。编辑你的 API 服务器和 etcd 的配置文件,确保只启用强密码套件。例如: ```yaml apiVersion: v1 kind: Pod metadata: name: kube-apiserver spec: containers: - name: kube-apiserver image: k8s.gcr.io/kube-apiserver-amd64:v1.18.0 command: - kube-apiserver - --tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ``` 3. **重启服务**: 在修改配置文件后,需要重启相关的 Kubernetes 服务以使更改生效。可以使用以下命令重启服务: ```bash sudo systemctl restart kube-apiserver sudo systemctl restart etcd ``` 4. **验证更改**: 验证更改是否生效,确保只有强密码套件被启用。可以使用以下命令来检查: ```bash openssl s_client -connect <your-api-server>:6443 -cipher 'ALL' | grep 'Cipher is' ``` 5. **监控和日志**: 定期监控和检查日志,确保没有异常活动。可以通过以下命令查看日志: ```bash kubectl logs <pod-name> ``` 通过以上步骤,可以有效地修复 k8s SSL/TLS 协议信息泄露漏洞CVE-2016-2183)。
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值