重协商攻击(CVE-2011-1473) 漏洞处理

已于 2022-10-22 19:48:45 修改
阅读量1w 收藏 8
点赞数 1
分类专栏: Linux 文章标签: CVE-2011-1473 重协商攻击 漏洞处理
于 2022-09-02 10:02:53 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/londa/article/details/126656330
版权

后来试过其实还是不太行,最终通过升级rocketmq版本来处理。

1. name server和broker都需要修改:进入 /home/rocketmq/rocketmq-4.7.0/bin,修改 runbroker.sh 和 runserver.sh(如果有runbroker.sh~ 和 runserver.sh~ 也修改下),分别加入如下配置:

# disable tls1.0
JAVA_OPT="${JAVA_OPT} -Dhttps.protocols=TLSv1.2"
JAVA_OPT="${JAVA_OPT} -Djdk.tls.disabledAlgorithms=SSLv3,RC4,MD5withRSA,DH,TLSv1"
JAVA_OPT="${JAVA_OPT} -Djdk.tls.client.protocols=TLSv1.1,TLSv1.2"

效果如下:

修改后,重启下 name server 和 broker

2. 如上述失败尝试,设定禁用的算法:编辑文件 /etc/profile,添加如下配置:

export _JAVA_OPTIONS="-Djdk.tls.disabledAlgorithms=SSLv3,RC4,MD5withRSA,TLSv1"

执行 source /etc/profile 使配置生效。

3. 还可以编辑文件 ${JAVA_HOME}/jre/lib/security/java.security,按如下配置:

jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, DH keySize < 1024, \EC keySize <224, 3DES_EDE_CBC

4. 修改后,执行如下命令,

openssl s_client -connect 127.0.0.1:9876 -tls1

如果能如下图所示,TLSv1.0协议连接失败,则成功禁用TLSv1.0。

b3d9c9b7d5ec5b2d240ae7446e4daa02.png

如果如下图所示,应该还是表示连接成功(但如果如上设置好后,头几次调用session id为空,但之后调用都是复现session id不为空的情况,但这种情况目前公司的扫描貌似扫描不出来,还有待观望):

参考文章:

https://www.jianshu.com/p/9a97fe83ed6f

TLS Client-initiated 重协商攻击(CVE-2011-1473)漏洞验证测试
afei001
03-07 7936
目录 1.前言 2.TLS Client-initiated重协商漏洞概述 3.漏洞验证 4.漏洞修复 4.1 缓解措施 4.1 针对各中间件修复建议 1.前言 最近在对网站进行安全漏扫时,使用绿盟RSAS远程评估系统发现了TLSClient-initiated 重协商攻击(CVE-2011-1473)漏洞。最后经过人工验证,发现该漏洞属于误报。这里记录修复过程和验证方法。 2.TLS Client-initiated重协商漏洞概述 该漏...
OPENSSH漏洞(CVE-2020-15778 CVE-2018-15473、CVE-2018-15919)修补文件命令
03-31
通过升级openssh到OpenSSH8.4 修复openssh低版本的漏洞 openssh8.4需要的 openssl-1.1.1g, openssh-8.4p1,zlib-1.2.11
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录
热门推荐
weixin_48335916的博客
06-24 2万+
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录 根据漏洞扫描反馈的结果,发现存在“服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)漏洞,端口为443 查看端口443端口对应的PID,并找出对应的服务,最后发现433端口的服务是VM netstat -anp|findstr "443" wmic process get name,executablepath,processid|findstr pid
检测服务器是否开启重协商功能(用于CVE-2011-1473漏洞检测)
weixin_30756499的博客
09-17 3685
背景   由于服务器端的重新密钥协商的开销至少是客户端的10倍,因此攻击者可利用这个过程向服务器发起拒绝服务攻击。OpenSSL 1.0.2及以前版本受影响。 方法   使用OpenSSL(linux系统基本都自带)连接服务器进行测试:     - openssl s_client -connect ip:port     - HEAD / HTTP/1.0     -...
【解决方案】服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)
ak761636411的博客
08-27 1万+
使用SSL开启重协商的服务都会受该漏洞影响 Apache解决办法: 升级到Apache 2.2.15以后版本 IIS解决办法: IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。 Lighttpd解决办法: 建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-ren...
漏洞修复:TLS Client-initiated重协商攻击CVE-2011-1473
u012785397的博客
05-14 1万+
修复通过jsse实现的ssl/tls不安全的重协商漏洞
CVE-2011-1473: OpenSSL权限许可和访问控制问题漏洞及解决方案
最新发布
世上哪有什么岁月静好,不过是有人替你负重前行
06-14 2980
CVE-2011-1473: OpenSSL权限许可和访问控制问题漏洞
漏洞修复:RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
weixin_54626591的博客
03-26 2616
RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
xieqj_0511的博客
06-16 8445
CVE-2011-1473安全漏洞修改,针对rocketmq
SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】解决说明
weixin_33946605的博客
11-17 7319
一.  修改SSL密码套件 1.1  加固方法: 1.1.1  操作步骤: 第一步:按下' Win + R',进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"。 第二步:打开计算机配置-&gt;管理模板-&gt;网络-&gt;SSL配置设置。 第三步:在"SSL密码套件顺序"选项上,右键"编辑"-&gt;在"SSL密码套件顺序"选在
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473复现验证)
qq_45300786的博客
06-08 1万+
一、使用bash脚本(tls-reneg )可验证 https://github.com/c826/bash-tls-reneg-attack ./tls-reneg.sh host:端口 二、使用openssl可验证 openssl s_client -connect host:端口 三、使用testssl脚本可验证 一、SWEET32(CVE-2016-2183) 使用3DES的任何密码都易受SWEET32影响 命令:./testssl.sh -W 192.168.1.22 二、DROWN(CVE-
WebSphere系统安全加固规范 中文
09-22
1.账号管理、认证授权 2.日志配置 3.通信协议 4.设备其他安全要求 附录:系统开放端口及对应服务说明
linux源码编译安装apache( httpd-2.4.53)处理服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)
liaodaoguo的博客
03-30 1918
linux源码编译安装apache 首先我们需要下载相关的依赖包 apr、apr-util、pcre 1.配置依赖环境 (1) 配置apr依赖 解压依赖包: tar -xf apr-1.7.0.tar.gz 进入解压后的目录:cd apr-1.7.0 配置(设置安装在/usr/local/apr):./configure --prefix=./configure --prefix=/usr/local/apr 编译并安装:make && make install (2) 配置apr-util
Nginx遇到TLS Client-initiated 重协商攻击(CVE-2011-1473)
qq_24056881的博客
03-01 2114
系统:CentOS Linux 7代理服务器:nginx。
绿盟漏洞 :服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】
深夜卖黄碟的少年
01-21 1万+
绿盟漏洞 :服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】 当前环境:Springboot + undertow容器 java version “1.8.0_211” openssl version : OpenSSL 1.0.1e-fips 11 Feb 2013 nginx/1.17.9 设置参数: System.setProperty("jdk.tls.rejectClientInitiatedRenegotiation",
【openEuler开源社区】如何为社区修复CVE漏洞
weixin_44569394的博客
06-18 4413
如何为openEuler开源社区修复CVE漏洞
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】
Gblfy_Blog
02-18 2703
netstat -apn | grep 41148 ps -ef | grep 2376 netstat -apn | grep 41148 二、Linux 1、查询8080端口是否被占用,并可以查看pid/程序名 netstat -apn | grep 8080Q 2、查看详细信息 ps -ef | grep PID 3、终止该进程 kill -9 PID ...
Centos修复CVE漏洞,快速检测CVE漏洞是否修复的方法
木简熙的博客
04-07 5565
最近在做公司云平台安全漏洞修复项目,主要负责kernel的漏洞修复,kernel使用3.10.0-1062.el7.x86_64,使用绿盟安全扫描仪扫描平台漏洞。 1.漏洞扫描结果 2.kernel漏洞列表 打开一个漏洞扫描结果,里面会给出相应修复方法的链接,打开链接https://lists.centos.org/pipermail/centos-announce/20...
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) nginx 修复方法
05-18
如果您使用的是较老版本的NGINX,需要升级至1.1.13或以上的版本。对于较新版本的NGINX,可以通过在配置文件中加入以下指令来避免CVE-2011-1473漏洞的影响: ssl_prefer_server_ciphers on; 此外,我们还建议您使用最新版本的SSL/TLS协议,并启用SSL证书的OCSP Stapling功能来提高安全性。 同时,我们还建议您定期审查服务器配置,更新操作系统和相关软件的补丁,以保护服务器免受漏洞攻击的影响。
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

技术园地

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值