# SSL/TLS协议信息泄露漏洞(CVE-2016-2183)处理采坑历程

最新推荐文章于 2024-05-21 23:23:05 发布
最新推荐文章于 2024-05-21 23:23:05 发布
阅读量1.2w 收藏 41
点赞数 13
分类专栏: 运维 linux 开发
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lhrm0213/article/details/117561734
版权
开发 同时被 3 个专栏收录
10 篇文章 0 订阅
订阅专栏
运维
6 篇文章 2 订阅
订阅专栏
linux
5 篇文章 1 订阅
订阅专栏

第二个漏洞处理:CVE-2016-2183

当时看升级openssl能够解决此问题,于是,开始升级openssl

1. 下载新版本openssl

查看当前openssl版本信息

[root@localhost ~]# openssl version -a
OpenSSL 1.0.2r  26 Feb 2019   #openssl版本信息
built on: reproducible build, date unspecified
platform: linux-x86_64
options:  bn(64,64) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -Wa,--noexecstack -m64 -DL_ENDIAN -O3 -Wall -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/usr/local/ssl"

下载新版本:

[root@localhost ~]# cd /usr/local/src/
[root@localhost src]# ll
总用量 0
[root@localhost src]#  wget https://www.openssl.org/source/openssl-1.1.1h.tar.gz

下载过程:
--2021-06-04 10:51:29--  https://www.openssl.org/source/openssl-1.1.1h.tar.gz
正在解析主机 www.openssl.org (www.openssl.org)... 104.117.217.32, 2600:1417:1000:882::c1e, 2600:1417:1000:8a4::c1e
正在连接 www.openssl.org (www.openssl.org)|104.117.217.32|:443... 已连接。
已发出 HTTP 请求,正在等待回应... 200 OK
长度:9810045 (9.4M) [application/x-gzip]
正在保存至: “openssl-1.1.1h.tar.gz”

100%[======================================================================================================================================>] 9,810,045    156KB/s 用时 73s    

2021-06-04 10:52:45 (132 KB/s) - 已保存 “openssl-1.1.1h.tar.gz” [9810045/9810045])

2. 备份证书文件和秘钥文件

[root@localhost src]# mv /usr/bin/openssl /usr/bin/openssl.old
[root@localhost src]# mv /usr/include/openssl /usr/include/openssl.old

3. 安装新版本openssl

解压:

[root@localhost src]# cd /usr/local/src/
[root@localhost src]# tar -zxvf openssl-1.1.1h.tar.gz

安装:

#进入目录
[root@172-15-4-5 openssl-1.1.1h]# cd openssl-1.1.1h

预编译到指定安装路径,生成Makefile文件,-t参数可测试编译情况,–prefix:指定安装目录;–openssldir:指定openssl配置文件路径

[root@172-15-4-5 openssl-1.1.1h]# ./config --prefix=/usr/local/openssl

输出内容:

Operating system: x86_64-whatever-linux2
Configuring OpenSSL version 1.1.1h (0x1010108fL) for linux-x86_64
Using os-specific seed configuration
Creating configdata.pm
Creating Makefile

**********************************************************************
***                                                                ***
***   OpenSSL has been successfully configured                     ***
***                                                                ***
***   If you encounter a problem while building, please open an    ***
***   issue on GitHub <https://github.com/openssl/openssl/issues>  ***
***   and include the output from the following command:           ***
***                                                                ***
***       perl configdata.pm --dump                                ***
***                                                                ***
***   (If you are new to OpenSSL, you might want to consult the    ***
***   'Troubleshooting' section in the INSTALL file first)         ***
***                                                                ***
**********************************************************************

编译

[root@172-15-4-5 openssl-1.1.1h]# make

输出结果(部分)

gcc  -Iinclude -pthread -m64 -Wa,--noexecstack -Wall -O3 -DNDEBUG  -MMD -MF test/x509_dup_cert_test.d.tmp -MT test/x509_dup_cert_test.o -c -o test/x509_dup_cert_test.o test/x509_dup_cert_test.c
rm -f test/x509_dup_cert_test
${LDCMD:-gcc} -pthread -m64 -Wa,--noexecstack -Wall -O3 -L.   \
	-o test/x509_dup_cert_test test/x509_dup_cert_test.o \
	 test/libtestutil.a -lcrypto -ldl -pthread 
gcc  -I. -Iinclude -pthread -m64 -Wa,--noexecstack -Wall -O3 -DNDEBUG  -MMD -MF test/x509_internal_test.d.tmp -MT test/x509_internal_test.o -c -o test/x509_internal_test.o test/x509_internal_test.c
rm -f test/x509_internal_test
${LDCMD:-gcc} -pthread -m64 -Wa,--noexecstack -Wall -O3 -L.   \
	-o test/x509_internal_test test/x509_internal_test.o \
	 test/libtestutil.a libcrypto.a -ldl -pthread 
gcc  -Iinclude -pthread -m64 -Wa,--noexecstack -Wall -O3 -DNDEBUG  -MMD -MF test/x509_time_test.d.tmp -MT test/x509_time_test.o -c -o test/x509_time_test.o test/x509_time_test.c
rm -f test/x509_time_test
${LDCMD:-gcc} -pthread -m64 -Wa,--noexecstack -Wall -O3 -L.   \
	-o test/x509_time_test test/x509_time_test.o \
	 test/libtestutil.a -lcrypto -ldl -pthread 
gcc  -Iinclude -pthread -m64 -Wa,--noexecstack -Wall -O3 -DNDEBUG  -MMD -MF test/x509aux.d.tmp -MT test/x509aux.o -c -o test/x509aux.o test/x509aux.c
rm -f test/x509aux
${LDCMD:-gcc} -pthread -m64 -Wa,--noexecstack -Wall -O3 -L.   \
	-o test/x509aux test/x509aux.o \
	 test/libtestutil.a -lcrypto -ldl -pthread 
/usr/bin/perl "-I." -Mconfigdata "util/dofile.pl" \
    "-oMakefile" apps/CA.pl.in > "apps/CA.pl"
chmod a+x apps/CA.pl
/usr/bin/perl "-I." -Mconfigdata "util/dofile.pl" \
    "-oMakefile" apps/tsget.in > "apps/tsget.pl"
chmod a+x apps/tsget.pl
/usr/bin/perl "-I." -Mconfigdata "util/dofile.pl" \
    "-oMakefile" tools/c_rehash.in > "tools/c_rehash"
chmod a+x tools/c_rehash
/usr/bin/perl "-I." -Mconfigdata "util/dofile.pl" \
    "-oMakefile" util/shlib_wrap.sh.in > "util/shlib_wrap.sh"
chmod a+x util/shlib_wrap.sh
make[1]: Leaving directory `/usr/local/src/openssl-1.1.1h'

安装

[root@172-15-4-5 openssl-1.1.1h]# make install

输出结果(部分)

/opt/openssl/share/doc/openssl/html/man7/X448.html -> /opt/openssl/share/doc/openssl/html/man7/X25519.html
/opt/openssl/share/doc/openssl/html/man7/bio.html
/opt/openssl/share/doc/openssl/html/man7/crypto.html
/opt/openssl/share/doc/openssl/html/man7/ct.html
/opt/openssl/share/doc/openssl/html/man7/des_modes.html
/opt/openssl/share/doc/openssl/html/man7/evp.html
/opt/openssl/share/doc/openssl/html/man7/ossl_store-file.html
/opt/openssl/share/doc/openssl/html/man7/ossl_store.html
/opt/openssl/share/doc/openssl/html/man7/passphrase-encoding.html
/opt/openssl/share/doc/openssl/html/man7/proxy-certificates.html
/opt/openssl/share/doc/openssl/html/man7/scrypt.html
/opt/openssl/share/doc/openssl/html/man7/ssl.html
/opt/openssl/share/doc/openssl/html/man7/x509.html

4. 替换原有旧openssl文件

[root@localhost ~]#  ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
[root@localhost ~]#  ln -s /usr/local/openssl/include/openssl /usr/include/openssl

 #在/etc/ld.so.conf文件中写入openssl库文件的搜索路径
[root@localhost ~]#   echo "/usr/local/openssl/lib" >> /etc/ld.so.conf

 #使修改后的/etc/ld.so.conf生效 
[root@localhost ~]# ldconfig -v

5. 验证版本

[root@172-15-4-5 openssl-1.1.1h]# openssl version
OpenSSL 1.1.1h  22 Sep 2020

完美,也能正常查看版本信息。为了确保万无一失,决定重启一下系统。

[root@172-15-4-5 openssl-1.1.1h]# reboot

再次验证版本

[root@172-15-4-5 openssl-1.1.1h]# openssl version
OpenSSL 1.1.1h  22 Sep 2020

再次漏扫,已经没有该漏洞了。

6. 过程中遇到的坑

升级完openssl,直接裂开。

openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

于是上网查了一下,主要原因是缺少依赖。大部分网上解决方案,都是创建软连接。主要是执行以下命令:

[root@172-15-4-5 lib]# ln -s /usr/local/lib/libssl.so.1.1 /usr/lib/libssl.so.1.1
[root@172-15-4-5 lib]# ln -s /usr/local/lib/libcrypto.so.1.1 /usr/lib/libcrypto.so.1.1

然而,这并不能解决问题,因为我是通过源码安装的openssl新版本,在/usr/local/lib目录下,根本就没有上面的文件。也不知道如何下载这些文件。当然,这个过程中也试过了其他的方法,比如修改配置等。最终我是发现我根本没有上面两个依赖的文件,包括在lib64目录下也没有。

于是,我想试试yum安装,这样是不是就能够自动添加依赖。

yum安装openssl

[root@172-15-4-5 lib64]# yum -y install openssl

安装完成后验证版本:

[root@172-15-4-5 lib64]# openssl version -a
OpenSSL 1.0.2k-fips  26 Jan 2017
built on: reproducible build, date unspecified
platform: linux-x86_64
options:  bn(64,64) md2(int) rc4(16x,int) des(idx,cisc,16,int) idea(int) blowfish(idx) 
compiler: gcc -I. -I.. -I../include  -fPIC -DOPENSSL_PIC -DZLIB -DOPENSSL_THREADS -D_REENTRANT -DDSO_DLFCN -DHAVE_DLFCN_H -DKRB5_MIT -m64 -DL_ENDIAN -Wall -O2 -g -pipe -Wall -Wp,-D_FORTIFY_SOURCE=2 -fexceptions -fstack-protector-strong --param=ssp-buffer-size=4 -grecord-gcc-switches   -m64 -mtune=generic -Wa,--noexecstack -DPURIFY -DOPENSSL_IA32_SSE2 -DOPENSSL_BN_ASM_MONT -DOPENSSL_BN_ASM_MONT5 -DOPENSSL_BN_ASM_GF2m -DRC4_ASM -DSHA1_ASM -DSHA256_ASM -DSHA512_ASM -DMD5_ASM -DAES_ASM -DVPAES_ASM -DBSAES_ASM -DWHIRLPOOL_ASM -DGHASH_ASM -DECP_NISTZ256_ASM
OPENSSLDIR: "/etc/pki/tls"
engines:  rdrand dynamic

没有报错。只不过openssl版本没有我自己下载的版本高,相当于其实是降低了版本的。并没有解决漏洞问题。没法,又重新用源码安装新版ssl(上述步骤),发现之前的步骤存在一点小问题,一个是confi阶段的参数问题,二是创建软连接时并未生效。总之,最终还是解决了问题。

1-5步骤,亲测已经可以使用,并且重启系统后,对ssh,nginx都没有带来影响。

云间歌
关注
  • 13
    点赞
  • 41
    收藏
    觉得还不错? 一键收藏
  • 5
    评论
专栏目录
SSL/TSL协议信息泄露漏洞CVE-2016-2183
Old_greenhand的博客
05-25 361
1、按win+r ,输入gpedit.msc。
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
认知 行动 坚持
01-08 702
如果Web服务中的SSL协议出现安全问题,攻击者就可以拥有你所有的安全信息。Nginx使用ssl模块配置HTTPS支持,就会遇到这个问题。编辑配置文件nginx.conf,把这句加在 server 配置节里就可以了,在浏览器使用不安全的算法时,会自动禁止连接。重新加载nginx配置文件,就可以生效了。之后nginx -t 检查配置文件。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
最新发布
冰恋云的专栏
05-21 3262
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
修复 K8s SSL/TLS 漏洞CVE-2016-2183)指南
热门推荐
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
服务器——SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复办法
xhy1999的博客
11-17 7997
近期某台Windows Server服务器的远程连接端口(3389)被扫出了SSL/TLS协议信息泄露漏洞(CVE-2016-2183),尝试了网上很多复制来复制去的"解决方法",直接导致堡垒机连不上服务器,每次连不上服务器又得去找服务器提供方,真的非常麻烦,在此不得不吐槽一下某些不负责任的复制粘贴,同时,记录下真正的解决方案以供大家参考。
SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
qq_45373631的博客
05-09 8344
SSL/TLS协议 RC4信息泄露漏洞被扫描出来,一般出现的问题在ssh和https服务上使用了DES、3DES算法,禁用这些算法就好了。2.重启nginx服务 systemctl restart nginx.service。其它中间件原理是一样的,找到中间件的配置文件 禁用!1.禁止apache服务器使用RC4加密算法。1.禁止apache服务器使用RC4加密算法。1.ssh禁用DES、3DES算法。重启lighttpd 服务。2.重启apache服务。2.重启sshd服务。然后就不会扫描出来了。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)解决方法
zcfeng
11-17 1590
第四步:将下列套件复制到 SSL密码套件框内,应用并确定。最后一定要重启服务器操作系统,使其配置生效。日常工作中,经常会有漏洞扫描、等保测评、攻防演练等安全活动。第二步:依次找到 本地组策略编辑器-->计算机配置-->管理模板-->网络-->SSL配置设置。第三步:双击上图右侧的SSL密码套件顺序,选择已启用,并删除原有的SSL密码套件。第一步:按住win + r ,输入gpedit.msc,进入组策略界面。在WINDOWS系统中出现的频率特别高,今天给大家分享一下该漏洞的解决方法。
SSL/TLS协议信息泄露漏洞(CVE - 2016 - 2183)/SWEET32漏洞修复工具
08-28
用于移除系统中可能存在的脆弱加密套件 支持win7及以上系统,包括Server版本 需要手动重启后生效
IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具
03-22
CVE-2016-2183是一种特定的SSL/TLS协议漏洞,可能导致敏感信息泄露,如用户的会话凭据或个人信息。这个漏洞可能被恶意攻击者利用,通过中间人攻击(Man-in-the-Middle, MITM)获取未加密的数据或者篡改加密的数据流...
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
Cookie_1030的专栏
07-05 7412
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞修复升级
熬夜波比
08-18 6339
/Configure -des -Dprefix=/usr/local/perl -Dusethreads –Uversiononly #配置参数。mkdir /usr/local/perl #创建安装目录。cd perl-5.28.2.tar.gz #进入安装目录。tar -zxvf perl-5.28.2.tar.gz #解压。12.查看版本后会报错这是库位置不正确。3.查看当前OpenSSL版本。10.更新链接库数据。.............
漏洞修复---SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】(一)
xiangjai的专栏
07-04 3921
环境 当前系统 当前openssl 版本 openssl和gcc下载地址 安装gcc(root权限) 安装openssl(root权限) 安装 移除老版本openssl 配置lib库 查看版本
OpenSSL 代码问题漏洞CVE-2020-1971)(CVE-2020-1967)
lanren312的博客
06-23 3850
突然接到任务要维护服务器,一脸懵逼,硬着头皮上.....Openssl OpenSSL 代码问题漏洞CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.org/news/secadv/20200421.txt文档中指出:这些版本的用户应升级到 OpenSSL 1.1.1。Openssl OpenSSL 代码问题漏洞CVE-2020-1967) 目前厂商已发布升级补丁以修复漏洞,补丁获取链接: https://www.openssl.
Rancher v2.4.5 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
小康子的博客
12-14 7222
最近服务器被“绿盟科技”扫出该漏洞,具体是由于 Rancher 组件 etcd 版本过低造成的。 1. 升级服务器 openssl 版本 首先查看服务器 openssl 版本,升级到 1.1.1 即可,具体参考 升级 CentOS 7 openssl 版本openssl version 升级前OpenSSL 1.0.2k-fips 26 Jan 2017 升级后OpenSSL 1.1.1h 22 Sep 2020 2. 使用 testssl.sh 工具测试 testssl.sh 测.
SSL/TLS协议信息泄露漏洞CVE-2016-2183
12-08
SSL/TLS协议信息泄露漏洞CVE-2016-2183)是一种安全漏洞,攻击者可以利用此漏洞对加密的SSL/TLS连接进行中间人攻击,从而窃取敏感信息。该漏洞是由于SSL/TLS协议中使用的块密码算法DES和3DES的设计缺陷导致的。攻击者可以通过对加密流量进行分析,利用生日攻击方法破解加密数据,从而获取敏感信息。 针对该漏洞,需要对使用DES和3DES算法的SSL/TLS连接进行升级或禁用。具体的修复方法因操作系统和应用程序而异。在Windows操作系统中,可以通过更新操作系统补丁或修改注册表项来修复该漏洞。同时,也可以使用第三方工具或脚本来进行修复。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值