一份关于windows server服务器的安全漏洞处理建议（来自绿盟安全评估）_允许traceroute探测漏洞

最新推荐文章于 2024-05-13 12:15:15 发布

Java有多久学会

最新推荐文章于 2024-05-13 12:15:15 发布

阅读量897

点赞数 24

分类专栏： 2024年程序员学习文章标签： windows 服务器安全

本文链接：https://blog.csdn.net/m0_60635609/article/details/137431255

版权

1、OpenSSL Security Advisory [22 Sep 2016]
链接：https://www.openssl.org/news/secadv/20160922.txt
请在下列网页下载最新版本：
https://www.openssl.org/source/
2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法
主要是修改conf文件
3、Windows系统可以参考如下链接：
https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel
验证方法根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理，通过发送精心构造的数据包到目标服务，根据目标的响应情况，验证漏洞是否存在

3.SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)

漏洞名称： SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】【可验证】
详细描述：安全套接层（Secure Sockets Layer，SSL），一种安全协议，是网景公司（Netscape）在推出Web浏览器首版的同时提出的，目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全（Transport Layer Security），IETF对SSL协议标准化（RFC 2246）后的产物，与SSL 3.0差异很小。

SSL/TLS内使用的RC4算法存在单字节偏差安全漏洞，可允许远程攻击者通过分析统计使用的大量相同的明文会话，利用此漏洞恢复纯文本信息。
解决办法

建议：避免使用RC4算法

1、禁止apache服务器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改为如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重启apache服务
2、关于lighttpd加密算法
在配置文件lighttpd.conf中禁用RC4算法，例如：
ssl.cipher-list = “EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4”
重启lighttpd 服务。

3、Windows系统建议参考官网链接修复：
https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4

验证方法：根据SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)原理，通过发送精心构造的数据包到目标服务，根据目标的响应情况，验证漏洞是否存在

注意：
这个server2012 KB2868725补丁打不上，有说用KB2992611或者KB2871997可以同作用修复这个漏洞，下载测试也一样安装不上，测试了好多方法，最后用注册表方式解决，内容如下：

先执行这：

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\DES56/56]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC240/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC256/128]“Enabled”=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC440/128]“Enabled”=dword:0000000

最低0.47元/天解锁文章

Java有多久学会

关注

24
点赞
踩
8

收藏

觉得还不错? 一键收藏
0
评论
一份关于windows server服务器的安全漏洞处理建议（来自绿盟安全评估）_允许traceroute探测漏洞

链接：https://www.openssl.org/news/secadv/20160922.txt请在下列网页下载最新版本：2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法主要是修改conf文件3、Windows系统可以参考如下链接：验证方法根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理，通过发送精心构造的数据包到目标服务，根据目标的响应情况，验证漏洞是否存在。
复制链接

扫一扫