SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复

已于 2023-02-10 14:03:11 修改
阅读量7.2k 收藏 12
点赞数 2
分类专栏: # 安全渗透 文章标签: 安全 web安全
于 2023-02-01 10:35:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/knight_zhou/article/details/128828301
版权
文章描述了一次针对内网开发段服务器的漏洞扫描,发现服务器支持使用中等强度的SSL加密,包括3DES和64-112位密钥长度的加密。Nmap扫描结果显示多个端口(如3389,80,443,25)存在此类问题。为解决此安全风险,建议更新应用程序以避免使用这些弱加密套件,并提供了推荐的强加密密码套件列表作为替代方案。
摘要由CSDN通过智能技术生成

前言

安全部门对于我们内网开发段服务器进行漏洞扫描,扫描出的漏洞如下:

##
https://www.tenable.com/plugins/nessus/42873


## 中文翻译
远程主机支持使用提供中等强度加密的SSL密码。 Nessus认为中等强度是指使用密钥长度至少64位且小于112位的加密,或者使用3DES加密套件的加密。请注意,如果攻击者位于同一物理网络上,那么要规避中等强度的加密要容易得多。
如果可能,请重新配置受影响的应用程序,以避免使用中等强度的密码。
该漏洞影响了很多的服务,包括常见的3389,80,443,25等。

扫描测试

root@efsz-it:~# nmap -sV --script ssl-enum-ciphers -p 3389 10.10.12.65

Starting Nmap 7.01 ( https://nmap.org ) at 2023-02-01 10:48 HKT
Nmap scan report for 10.10.12.65
Host is up (0.00049s latency).
PORT     STATE SERVICE            VERSION
3389/tcp open  ssl/ms-wbt-server?
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       Ciphersuite uses MD5 for message integrity
|   TLSv1.1: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       Ciphersuite uses MD5 for message integrity
|       Weak cipher RC4 in TLSv1.1 or newer not needed for BEAST mitigation
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 (dh 2048) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_DHE_RSA_WITH_AES_256_CBC_SHA (dh 2048) - A
|       TLS_DHE_RSA_WITH_AES_128_CBC_SHA (dh 2048) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA (rsa 2048) - C
|       TLS_RSA_WITH_RC4_128_SHA (rsa 2048) - A
|       TLS_RSA_WITH_RC4_128_MD5 (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       Ciphersuite uses MD5 for message integrity
|       Weak cipher RC4 in TLSv1.1 or newer not needed for BEAST mitigation
|_  least strength: C
MAC Address: 00:50:56:B8:1D:BD (VMware)

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.31 seconds
root@efsz-it:~#

修复方法

gpedit.msc --> 计算机管理-->管理模板,

SSL的密码套件替换如下:

TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA_P384,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P256,
TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA_P384,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,
TLS_DHE_DSS_WITH_AES_256_CBC_SHA,
TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA

以上就是SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复方法。

叱咤少帅(少帅)
关注
专栏目录
Nessus漏洞扫描报错:42873 - SSL Medium Strength Cipher Suites Supported (SWEET32)
qq_41172258的博客
12-15 1838
在命令提示符(CMD)中,输入命令“gpedit”打开系统“本地组策略编辑器”;依次打开管理模板->网络->SSL配置设置->SSL密码套件顺序(双击)。个人搭建的windows server 2019服务器,被Nessus工具扫描出现三个漏洞修复比较过程比较坎坷,特记录下。替换下,保存重启服务器就行了。
SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
一纸荒芜的博客
06-12 7925
nessus漏扫的漏洞修复
SSL/TLS协议信息泄露漏洞修复
最新发布
童龙辉的博客
08-22 1448
概述:CVE-2016-2183 是一个涉及 SSL/TLS 协议信息泄露的漏洞,也被称为 "SWEET32" 攻击。该漏洞利用了某些对称加密算法(如 3DES)的弱点,攻击者可以通过捕获和分析大量的加密流量,可能会恢复明文数据。
SSL Medium Strength Cipher Suites Supported (SWEET32) 支持SSL中等强度密码套件(SWEET32)中危漏洞
小小关的博客
08-26 4270
Nessus将中等强度视为使用至少64位且小于112位的密钥长度的任何加密,否则使用3DES加密套件。修改 /usr/local/apache2.4.39/conf/httpd.conf。nginx修复方法修改/etc/nginx/conf.d/ssl.conf文件。然后重载服务器配置:service nginx restart。远程主机支持使用提供中等强度加密的SSL密码。如果是apache 的话。...
SSL Medium Strength Cipher Suites Supported (SWEET32)
热门推荐
par@ish的博客
05-06 1万+
Description The remote host supports the use of SSL ciphers that offer medium strength encryption. Nessus regards medium strength as any encryption that uses key lengths at least 64 bits and less than 112 bits, or else that uses the 3DES encryption suite.
修复SSL Medium Strength Cipher Suites Supported漏洞
平庸
02-04 8662
修复SSL Medium Strength Cipher Suites Supported漏洞
高危风险漏洞详细信息及解决方案-42873(支持SSL中等强度密码组套件 General (SWEET 32))
qq_39497648的博客
08-11 2396
高危风险漏洞详细信息及解决方案-42873(支持SSL中等强度密码组套件 General (SWEET 32))
redhat6.5 修复SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞
06-06
修复RedHat 6.5上的SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞,可以按照以下步骤进行: 1. 升级OpenSSL版本:使用以下命令升级OpenSSL版本: ``` yum update openssl ``` 2. 禁用SSLv3和...
修复RedHat 6.5上的SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞
06-06
修复RedHat 6.5上的SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞,您可以按照以下步骤进行: 1. 升级OpenSSL版本:升级到1.0.1t或更高版本。可以使用yum进行升级: ``` yum update openssl ``` ...
实际项目中配置SSL实例之一 SSL术语解释(共4篇)
生活简单化
08-01 2209
原来做的一个金融软件项目, 部署到生产环境后,客户要求使用SSL协议保证数据安全性(后来分析实际用处不大),在此整理了一些SSL基本概念和不同服务器(weblogic,websphere,apache,)的ssl配置以及自建CA中心生成证书--第一篇:SSL术语及概念解释--1,各种密钥和证书的文件格式说明 JKS(Java KeyStore):java的密钥存储文件,二进制格式, 其中可
Windows server 2012远程桌面服务(RDP)存在SSL / TLS漏洞的解决办法
weixin_33811961的博客
06-28 7189
1、 前言为了提高远程桌面的安全级别,保证数据不被×××窃取,在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据,从而弥补了远程桌面功能本来的安全缺陷。2、问题描述在Windows server 2003和Windows server 2008,远程桌面服务SSL加密默认是关闭的...
kube-apiserver 6443 SSL Medium Strength Cipher Suites Supported (SWEET32)
二哈欢乐多的博客
04-11 450
修改完: 会重启apiserver的 6443端口会暂时不可访问。
SSL中等强度密码套件(SWEET32);SSL 64位块大小密码套件支持(SWEET32)
慢谈人生
10-06 4000
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
网络安全入门笔记(共327页),助你步入安全门槛
Spontaneous_0的博客
01-31 508
网络安全入门笔记(共327页),助你步入安全门槛
traefik TLS-SSL 修复sweet32漏洞 [安全加固]——筑梦之路
qq_53058639的博客
03-08 1226
之前已经写过关于nginxK8S组件修复sweet32安全漏洞的相关文章,关于sweet32安全漏洞就不再做过多的介绍,查阅了一些资料,很少有关于traefik修复SWEET32安全漏洞的相关文章,今天这里写一下如何修复traefik此漏洞,增强安全性。
SWEET32、CVE-2016-6329、CVE-2016-2183、响应头】漏洞修复
famaslly的博客
03-05 2058
1、设置标题、添加响应头、返回值。1、升级 OpenSSL 版本。
K8S组件SWEET32 CVE-2016-2183漏洞修复方案 —— 筑梦之路
筑梦之路
11-25 2700
涉及得组件:kubelet kube-apiserver etcd。去掉3DES弱加密算法,其他加密算法保留。
[漏洞]允许SSL采用中强度加密
weixin_33895516的博客
02-15 1万+
2019独角兽企业重金招聘Python工程师标准>>> ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叱咤少帅(少帅)

如果文章对你有帮助就打赏下吧!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值