OpenSSL 代码问题漏洞(CVE-2020-1971)(CVE-2020-1967)

已于 2024-02-28 17:31:49 修改
阅读量3.8k 收藏
点赞数
分类专栏: 运维 文章标签: 运维
于 2022-06-23 14:30:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lanren312/article/details/125426376
版权

突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....

一、OpenSSL 代码问题漏洞(CVE-2020-1967) 

目前厂商已发布升级补丁以修复漏洞,补丁获取链接:
https://www.openssl.org/news/secadv/20200421.txt

文档中指出:这些版本的用户应升级到 OpenSSL 1.1.1。

Openssl OpenSSL 代码问题漏洞(CVE-2020-1971) 
目前厂商已发布升级补丁以修复漏洞,补丁获取链接:https://www.openssl.org/news/secadv/20201208.txt

文档中指出:OpenSSL 1.1.1 用户应升级到 1.1.1i。

OpenSSL 1.1.1 用户应升级到 1.1.1i,问题应该就都解决了吧

参考 linux升级openssl到1.1.1i(CVE-2020-1971: OpenSSL 拒绝服务漏洞)_李卓书的博客-CSDN博客_linux升级openssl1.1.1


make && make install 也没有报错,完美解决,记录下。

### 查看openSSH版本
ssh -V

下载地址
https://mirrors.aliyun.com/openssh/portable/
参考博客
https://liucy.blog.csdn.net/article/details/130484944

### 查看openSSL版本
openssl version

下载地址
https://www.openssl.org/source/

二、HTTP响应头使用X-XSS-Protection检查等

HTTP响应头使用X-XSS-Protection检查 
HTTP响应头部使用X-Frame-Options检查 
HTTP安全返回头Strict-Transport-Security检查 
HTTP响应头X-Content-Options:nosniff检查

在nginx中添加如下配置

add_header X-XSS-Protection "1; mode=block";
add_header Strict-Transport-Security max-age=63072000;
add_header X-Frame-Options SAMEORIGIN;
add_header X-Content-Type-Options nosniff;

####################### X-XSS-Protection 的字段有三个可选配置值

0:# 禁用XSS保护;
1:# 启用XSS保护;
1; # mode=block:启用XSS保护,并在检查到XSS攻击时,停止渲染页面(例如IE8中,检查到攻击时,整个页面会被一个#替换);

####################### X-frame-options响应头。赋值有如下三种:

(1)DENY:不能被嵌入到任何iframe或frame中。
(2)SAMEORIGIN:页面只能被本站页面嵌入到iframe或者frame中。
(3)ALLOW-FROM uri:只能被嵌入到指定域名的框架中
ALLOWALL: 允许所有域名iframe

配置完记得要重启nginx才能生效,看看浏览器的响应就多杠杠的配置..

 记录: 当https的页面中有指向http的页面的时候,需要先去把http改成https(至少我是这么改的),否则浏览器会有报错 “(已屏蔽:mixed-content)”

三、OpenSSL弱加密算法

OpenSSH CBC模式 弱加密算法漏洞

| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A 
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
.......

openssl几个加密算法使用介绍

OpenSSL一共提供了8种对称加密算法,其中7种是分组加密算法,仅有的一种流加密算法是RC4。
这7种分组加密算法分别是AES、DES、Blowfish、CAST、IDEA、RC2、RC5,都支持电子密码本模式(ECB)、加密分组链接模式(CBC)、加密反馈模式(CFB)和输出反馈模式(OFB)四种常用的分组密码加密模式。
其中,AES使用的加密反馈模式(CFB)和输出反馈模式(OFB)分组长度是128位,其它算法使用的则是64位。事实上,DES算法里面不仅仅是常用的DES算法,还支持三个密钥和两个密钥3DES算法。

准备工作:

参考博客: OpenSSH CBC模式 弱加密算法漏洞(CVE-2008-5161)_-小-白-的博客-CSDN博客_ssh弱加密算法漏洞

3.1、查看Linux设置的ssh端口

semanage port -l | grep ssh
cat /etc/ssh/sshd_config

3.2、查看目前sshd支持的加密算法

man ssh_config

3.3、当前加密算法都有哪些

yum install nmap
nmap --script "ssh2*" 服务器ip   ## 当前加密算法都有哪些

3.3、修改加密算法并重启ssh服务

echo 'Ciphers aes128-ctr,aes192-ctr,aes256-ctr' >> /etc/ssh/sshd_config  ## 修改加密算法 
/usr/sbin/sshd -T       ## 检查是否正确,如果重启失败报错可以去检查哪里错了
systemctl restart sshd  ## 重启SSH服务
cat /etc/ssh/sshd_config

 

3.4、检查修改后的结果

nmap --script "ssh2*" 服务器ip

四、Content-Security-Policy

配置可参考:https://blog.csdn.net/guo15890025019/article/details/123179250

https://www.cnblogs.com/hahaha111122222/p/16280296.html 

检验地址:https://securityheaders.com/

add_header Content-Security-Policy "default-src 'self' 自己的域名
	frame-ancestors 'self';
	style-src 'self';  
	object-src 'none';
	script-src 'self' 自己的域名 'unsafe-inline' 'unsafe-eval';";

五、 Linux系统安全日志详解

参考博客:

http://www.zfang.net/?read-1529.html

lanren312
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
CVE-2020-1971—— OpenSSL 拒绝服务漏洞
战神/calmness的博客
12-09 1173
描述 2020年12月09日,360CERT监测发现 openssl发布了 openssl 拒绝服务漏洞的风险通告,该漏洞编号为 CVE-2020-1971漏洞等级:高危,漏洞评分:7.5。 OpenSSL在处理 EDIPartyName(X.509 GeneralName类型)时,使用的函数GENERAL_NAME_cmp中存在一处空指针解引用。当使用该函数进行比较的两个参数都包含EDIPartyName时触发该漏洞。 GENERAL_NAME_cmp函...
openssl安全漏洞解决方案
嵌嵌的爱
12-29 4426
包括openssl和openssh升级,报错,安全漏洞解决等相关内容
OpenSSL 3.x爆出漏洞,如何妥善应对?
AKAMAI_CHINA的博客
12-11 985
在向安全团队告知即将发布的修复程序相关信息时,OpenSSL团队用了一种有趣的方法。这则公告为防御者留出了足够的准备时间,以便找出需要打补丁的关键系统。本文介绍的方法可以帮助大家找到可能受到影响的应用程序,并第一时间安装补丁以缓解风险。安全方面总会有层出不穷的新故事和事故,欢迎关注Akamai,第一时间了解新出现的安全威胁以及应对和缓解措施。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
最新发布
冰恋云的专栏
05-21 2517
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
基于Nginx关于OpenSSL漏洞的修复过程再说说编译过程
kitgenius的博客
02-08 532
OpenSSL这个库应用非常广泛,实际业务环境中使用广泛的Nginx、SSH都有用到,一旦使用了漏洞版本则可能产生安全问题。之前在公众号发布过《一个关于OpenSSL和Nginx的漏洞修复过程》和《Nginx编译并动态链接OpenSSL库》,上述两文中编译安装了Nginx。本文对动态编译Nginx程序时链接不同版本的OpenSSL库进行对比说明,并深入一点说说实验中的编译过程。
OpenSSL漏洞修补方法
04-21
OpenSSL v1.0.1到1.0.1f的密码算法库中发现了一个非常严重bug(CVE-2014-0160),该bug允许攻击者读取存在bug的系统的64kb处理内存,暴露加密流量的密钥,用户的名字和密码,以及访问的内容。这个漏洞被认为是heartbleed,心脏流血,针对 “OpenSSL被曝存年度最严重安全漏洞OpenSSL已经发布了1.0.1g修正bug。
CVE-2020-15778漏洞-——快速升级——openssh8.6.p1.tar.gz
06-21
OpenSSH 命令注入漏洞(CVE-2020-15778),文件包含installs.sh、openssh-8.6p1.tar.gz、openssl-1.1.1k.tar.gz、zlib-1.2.11.tar.gz。升级时候将openssh.tar.gz放至/home下解压,进入openssh目录,执行chmod +x ...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
本篇将详细讨论如何修补OpenSSH中的几个已知漏洞,包括CVE-2020-15778、CVE-2018-15473、CVE-2018-15919。 首先,让我们了解这些特定的漏洞: 1. CVE-2020-15778:这是一个与OpenSSH密钥协商过程相关的漏洞,可能...
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
OpenSSL拒绝服务漏洞 (CVE-2022-0778) poc证书
03-24
下载后执行 openssl x509 -in 2022_0778.pem -inform DER -text -noout 或者在自己产品证书管理界面上传证书验证 参考https://github.com/drago-96/CVE-2022-0778 制作证书验证
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
OpenSSL漏洞简述与网络检测方法
04-29
  由于SSL协议是网络加密登陆认证、网络交易等的主流安全协议,而OpenSSL又是主流的SSL搭建平台。因此这些称呼好不为过,建议各网络服务提供者、管理机构和用户高度注意本漏洞的处理情况,希望广大用户做出相应的对策。
安全漏洞追踪
01-09
适用于需要学习安全网络,漏洞挖掘方面的人、、、、、、、
检测到目标X-XSS-Protection响应头缺失【低危】
战神/calmness的博客
08-31 5695
目录 简介 过程 建议 简介 HTTP X-XSS-Protection 响应头是 Internet Explorer,Chrome 和 Safari 的一个特性,当检测到跨站脚本攻击 (XSS)时,浏览器将停止加载页面。 过程 打开网页抓包流量查看流量包信息 建议 增加X-XSS-Protection配置情况进行漏洞验证 ...
openssl 版本_漏洞通告 | OpenSSL 拒绝服务漏洞(CVE20201971)
weixin_39779530的博客
12-22 1492
漏洞背景2020年12月08日,OpenSSL官方发布安全公告,披露CVE-2020-1971 OpenSSL GENERAL_NAME_cmp拒绝服务漏洞OpenSSL是一个开放源代码的软件库包,应用程序可以使用这个包来进行安全通信,避免窃听,同时确认另一端连接者的身份。这个包广泛被应用在互联网的网页服务器上。漏洞描述2020年12月08日,OpenSSL官方发布安全公告,披露CVE...
OpenSSL 安全漏洞(CVE-2016-8610)修复详情步骤
qq_44179756的博客
08-10 5389
步骤1:进入opensslg官网下载对应安装包(例如1.1.1i稳定版) openssl官网:https://www.openssl.org/source/old/ 或者:源安装wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz 步骤2:指定安装路径 ./config --prefix=/usr/local/openssl make && make install 步骤3:备份替换当前系统的旧版本 open..
openssl升级_CVE-2020-1967OpenSSL拒绝服务漏洞警报
weixin_39926639的博客
12-06 301
最近,openssl正式发布了TLS 1.3组件拒绝服务漏洞的风险通知,漏洞编号为CVE-2020-1967,且漏洞级别为高风险。OpenSSL是用于应用程序的软件库,可保护计算机网络上的通信免遭窃听或需要识别另一方的身份。它被Internet服务器广泛使用,包括大多数HTTPS网站。 TLS(传输层安全性)是一种安全协议,其目的是为Internet通信提供安全性和数据完整性保证。该协议在浏览器,...
openssl漏洞补丁修复
weixin_34313182的博客
04-11 944
CVE-2014-0160漏洞背景2014年4月7日OpenSSL发布了安全公告,在OpenSSL1.0.1版本中存在严重漏洞(CVE-2014-0160)。OpenSSL Heartbleed模块存在一个BUG,问题存在于ssl/dl_both.c文件中的心跳部分,当***者构造一个特殊的数据包,满足用户心跳包中无法提供足够多的数据会导致memcpy函数把SSLv3记录之后...
android openssl漏洞,nginx升级之openssl 漏洞
weixin_39672572的博客
05-31 162
环境1 之前是yum 安装的2 centos 6.5步骤升级openssl升级nginx升级openssl为了修补openssl低版本存在的漏洞,现将Centos 6.5系统openssl版本1.0.1e升级到1.1.0i(系统6.5-6.9都适用),升级包括下载openssl-1.1.0i.tar.gz以及基础环境否则在"make"这一步会报错,故一定要安装zlib和zlib-devel[roo...
OpenSSL命令注入漏洞CVE-2022-1292)
07-28
回答: OpenSSL命令注入漏洞CVE-2022-1292)是指在OpenSSL 1.0.2版本中存在的漏洞。为了修复这个漏洞,你需要将OpenSSL 1.0.2升级到SSL 3版本。首先,你可以使用以下命令查看OpenSSL的版本信息:\[1\] ``` openssl...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值