常见绿盟扫描主机漏洞及修复方案

最新推荐文章于 2024-06-27 12:42:21 发布

doulicau

最新推荐文章于 2024-06-27 12:42:21 发布

阅读量1.1w

点赞数 4

分类专栏：技术文章

本文链接：https://blog.csdn.net/doulicau/article/details/106684970

版权

技术文章专栏收录该内容

23 篇文章 10 订阅

订阅专栏

1、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】中

修复意见：

建议升级openssl来进行修复，openssl-0.98m之后的版本就已经修复了该漏洞，使用了Secure Renegotiation。

2、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 中

修复意见：

对于NGINX的修补

修改nginx配置文件中的 ssl_ciphers项

ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

ssl_prefer_server_ciphers on;

重新加载：

$sudo /etc/init.d/nginx reload

对于apache的修复

打开配置文件

$ sudo vi /etc/httpd/conf.d/ssl.conf

修改配置

SSLCipherSuite

HIGH:MEDIUM:!aNULL:!MD5;!RC4

$ sudo /etc/init.d/httpd restart

对于TOMCAT的修复

server.xml 中SSL connector加入以下内容:

SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

3、SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566) 中

修复意见：

Apache

在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3： SSLProtocol All -SSLv2 -SSLv3 重启Apache

Nginx

在配置文件中使用： ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 重启Nginx

4、OpenSSL SSL-Death-Alert 拒绝服务漏洞(CVE-2016-8610)

修复版本：

openssl-1.0.2分支的1.0.2i及后续版本

openssl-1.1.0分支的1.1.0a及后续版本

5、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)

修复版本：openssl-0.98m之后的版本

6、SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

修复方案：

1、升级到最新的JDK版本（8.0以上），就可以立刻解决该问题。

2、如果没有办法升级JDK，可以采用调整服务器加密套件的配置来解决。 Tomcat 基于Java 1.6，请在Server.xml中增加以下ciphers配置：

<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11Protocol”

……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA"></connector>

基于Java 7，请在Server.xml中增加以下ciphers配置：

<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11Protocol”

……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA"></connector>

Weblogic

找到config.xml文件，修改编辑其中<ciphersuite></ciphersuite>参数，增加：

7、检测到远端rexec服务正在运行中端口：512 高

建议立即禁用rexecd服务：

*在windows下禁用rexecd服务打开服务控制面板，在服务列表中找到rexec项，选择停止服务

*在unix系统下禁用rexecd服务在“/etc/inetd.conf”里注释掉“exec”行并重起inetd服务。

8、服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】

修复方案：

Apache解决办法：升级到Apache 2.2.15以后版本

IIS解决办法： IIS 5.0启用SSL服务时，也会受影响。可以升级IIS 6.0到更高的版本。

Lighttpd解决办法：建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = “enable”。

Nginx解决办法：升级至nginx-1.15.2 版本

Tomcat解决办法：

1、使用NIO connector代替BIO connector，因为NIO不支持重协商，参考如下配置： <Connector protocol=”org.apache.coyote.http11.Http11NioProtocol”> （可能会影响Tomcat性能）；

2、配置Nginx反向代理，在Nginx中修复OpenSSL相关问题。参考链接: https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.htmlhttps://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.htmlhttp://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcathttps://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison

Squid解决办法: 升级到3.5.24以及以后版本

9、OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)【原理扫描】

受影响系统：

OpenSSL Project OpenSSL 1.0.2-beta1

OpenSSL Project OpenSSL 1.0.2-beta

OpenSSL Project OpenSSL 1.0.1f

OpenSSL Project OpenSSL 1.0.1e

OpenSSL Project OpenSSL 1.0.1d

OpenSSL Project OpenSSL 1.0.1c

OpenSSL Project OpenSSL 1.0.1b

OpenSSL Project OpenSSL 1.0.1a

OpenSSL Project OpenSSL 1.0.1

不受影响系统：

OpenSSL Project OpenSSL 1.0.2-beta2

OpenSSL Project OpenSSL 1.0.1g

OpenSSL Project OpenSSL 1.0.0

OpenSSL Project OpenSSL 0.9.8

临时解决方法：

NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级，您可以采取以下措施以降低威胁：

* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。

厂商补丁：

OpenSSL Project

—————

Openssl已经发布了Openssl 1.0.1g修复此问题，:

厂商安全公告：

https://www.openssl.org/news/secadv_20140407.txt

http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3

对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。

主流Linux发行版也已经发布相关补丁，请尽快升级。

10、Redis 配置不当可直接导致服务器被控制【原理扫描】

修复方案：

防止这个漏洞需要修复以下三处问题

第一：修改redis绑定的IP如果只在本机使用redis服务那么只要绑定127.0.0.1如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口最好不要绑定0.0.0.0另外需要通过主机内置的防火墙如iptables，或者其他外置防火墙禁止非业务主机访问redis服务

第二：设置访问密码在 redis.conf 中找到“requirepass”字段，取消注释并在后面填上你需要的密码。注：修改redis的配置需要重启redis才能生效。

第三：使用普通用户启动redis，并且禁止该用户启动shell，禁止使用root用户启动redis。

11、Redis 未授权访问漏洞【原理扫描】

修复方案：

方法一：可以修改绑定的IP、端口和指定访问者IP具体根据实际情况来设定，也可以直接在服务器防火墙上做设置。

方法二：设置访问密码在 redis.conf 中找到“requirepass”字段，取消注释并在后面填上你需要的密码。注：修改redis的配置需要重启redis才能生效。

12、ZooKeeper 未授权访问【原理扫描】

修复方案：

为ZooKeeper配置相应的访问权限。

方式一：

1）增加一个认证用户addauth digest 用户名:密码明文eg. addauth digest user1:password1

2）设置权限setAcl /path auth:用户名:密码明文:权限eg. setAcl /test auth:user1:password1:cdrwa

3）查看Acl设置getAcl /path

方式二：

setAcl /path digest:用户名:密码密文:权限

13、远端WWW服务支持TRACE请求

修复方案：

管理员应禁用WWW服务对TRACE请求的支持。IISURLScanApacheSource Code ModificationMod_Rewrite ModuleRewriteEngine onRewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F]