收到漏扫报告↓↓↓↓↓↓↓
漏洞名称
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
详细描述
TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。
TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。
<*来源:Karthik Bhargavan
Gaetan Leurent
链接:https://www.openssl.org/news/secadv/20160922.txt
*>
解决办法
建议:避免使用DES和3DES算法
1、OpenSSL Security Advisory [22 Sep 2016]
链接:https://www.openssl.org/news/secadv/20160922.txt
请在下列网页下载最新版本:
https://www.openssl.org/source/
2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法
主要是修改conf文件
3、Windows系统可以参考如下链接:
https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183forum=ws2016
https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel
威胁分值
7.5
危险插件
否
发现日期
2016-08-31
CVE编号
CVE-2016-2183
BUGTRAQ
92630
NSFOCUS
34880
CNNVD编号
CNNVD-201608-448
CNCVE编号
CNCVE-20162183
CVSS评分
5.0
CNVD编号
CNVD-2016-06765
操作如下:
本机扫描
yum inst