修复SSL3.0漏洞

最新推荐文章于 2024-04-07 22:22:10 发布
最新推荐文章于 2024-04-07 22:22:10 发布
阅读量1.1w 收藏 2
点赞数
分类专栏: Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq282030166/article/details/44153839
版权
一个存在于 SSL 3.0 协议中的新漏洞于被披露,通过此漏洞,第三方可以拦截通过采用 SSL 3.0 的服务器传输的重要信息。

问题出在哪里?
 
与此问题相关的不是 SSL 证书本身,而是进行加密处理时所采用的协议版本。SSL 3.0 协议被发现存在漏洞,通过该漏洞,攻击者可以获得密


码和浏览记录之类的个人信息。
 
虽然 SSL 3.0 推出已经 18 年了,而且 15 年前就有了更安全的 TLS 协议,SSL 3.0 仍在广泛使用中。要实现安全加密,必须完全禁用 SSL 

3.0,以防止降级攻击。
 
如何应对?
 
作为服务器管理员,您需要按照下列步骤操作:
 
1. 查看是否您的服务器配置为允许通过 SSL 3.0 通信。您可以执行如下 OpenSSL  命令来查看服务器配置:
 
openssl s_client -ssl3 -connect [host]:[port]
 
如果 SSL 3.0 被禁用,您将看到此通知:
 
SSL routines:SSL3_READ_BYTES:sslv3 alert handshakefailure:/xx/src/ssl/s3_pkt.c:xxxx:SSL alert number   
40SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:/xx/src/ssl/s3_pkt.c:xxx:
 
2. 完全禁用 SSL 3.0
 
3. 只启用 TLS 1.0 及以上级别安全协议
 
关于如何在各主流服务器中禁用 SSL 3.0,您可以参考下面链接中的帮助和说明:
 
Apache:http://httpd.apache.org/docs/2.2/mod/mod_ssl.html#sslprotocol
 
Nginx:http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl _protocols
 
IIS:http://support2.microsoft.com/kb/187498
 
网站用户也应对浏览器进行配置,不允许通过 SSL 3.0 通信。主要的浏览器供应商正计划在接下来的版本中将此项设为默认,所以请确保及时

更新为最新版本的浏览器,并定期与您的供应商联系以获得最新信息。
 
参考资料
 
利用 SSL 3.0 回退:https://www.openssl.org/~bodo/ssl-poodle.pdf
 
微软安全报告 3009008:https://technet.microsoft.com/en-us/library/security/3009008
名贤集
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
禁用ssl2.0、ssl3.0
04-17
Windows Server 2008 /2012 中使用IIS 7 /8默认允许SSL 2.0和SSL 3.0,如果需要禁用的话可采取文档中方法
不安全的TLS协议漏洞修复
SmallBull的博客
02-07 3312
TLS安全漏洞
sslv3 alert handshake failure 解决方案
最新发布
m0_58748460的博客
04-07 324
在工作中遇到一些很老旧的企业网站,比如某联,后台甚至是15年建立的,必须用ie+安装ssl证书访问的那种,win系统下还装一下ssl的exe文件,但笔者用macos系统简直是无从下手,用requests库请求一直是标题所示的错误,查了各种方法,通过各种组合测试,找到一个解决方案,升级python到3.11,降级urllib3到1.26.5版本。然后在requests请求中加入verify=False, 搞定,try it out!pip3如果运行不了,换pip也行。
Nginx服务之SSL
m0_62948770的博客
09-02 2066
SSL部署安装
SSL证书链不完整(或不被客户端信任)问题,填坑
零度的博客专栏
04-28 5950
一、SSL证书链信任过程: 浏览器的安装包里,保存着一些它信任的根证书(公钥)。 证书发行商们为了安全,通常会将这些根证书对应的私钥保存在绝对断网的金库里。在金库里用这些根私钥,签发一些“中级”证书,这些中级证书的私钥拥有签发再下一级证书的权限。这些中级私钥被安装到在线服务器上,通过签发网站证书来赚钱。一旦这些服务器被黑,发行商就可以利用金库里物理隔离的根证书私钥,可以签发吊销令,消灭这些中级...
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)_允许traceroute探测漏洞(1)
m0_60635321的博客
04-06 938
文章来由,友商服务器最近做了一次安全评估,领导让协助处理下漏洞修复。根据这份绿盟安全评估中的服务器漏洞扫描分析结果,做了下面的修复过程和总结,希望对看到小伙伴有帮助。提问:为什么要做安全漏洞修补?据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
SSL 3.0 POODLE 攻击信息泄露漏洞 (CVE-2014-3566)
Lucifer的专栏
11-08 910
OpenSSL 1.0.1i 及之前版本中使用的 SSL protocol 3.0 版本中存在安全漏洞,该漏洞源于程序使用非确定性的 CBC 填充。攻击者可借助 padding-oracle 攻击利用该漏洞实施中间人攻击,获取明文数据。测试代码:(1.0)
SSL3.0协议英文版
09-14
最权威的ssl 3.0英文版描述,是学习ssl协议的必看资料。
ssl version 3.0协议标准
09-13
ssl version 3.0协议标准 有需要的的下载来看看
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
SSL3.0基本握手协议的运行模式分析* (2005年)
05-18
主要使用运行模式法对简化的SSL3.0基本握手协议进行了形式化分析. 通过分析,找到了3种不同的攻击形式,并且对这3种攻击形式进行了深入研究,发现这3种攻击虽然从表面上看都是由于允许不同版本共存的漏洞引起的,...
nginx 升级支持 TLS1.2,TLS1.3
choujiwu8073的博客
06-14 9395
查看 TLS 版本 访问 https url 后,地址栏前面会有一个绿色小锁图标,点击它可以查看到 TLS 版本信息 如果没有达到1.2就需要升级 下面的操作环境为 centos linux 1)查看 openssl 版本 openssl version -a ...
查看nginx版本号的几种方法
热门推荐
无痕的博客
02-20 7万+
1、 查看服务器上安装的nginx版本号,主要是通过nginx的-v或-V选项,查看方法如下图所示 -v 显示 nginx 的版本。 -V 显示 nginx 的版本,编译器版本和配置参数 [root@zq ~]# nginx -V nginx version: nginx/1.16.1 built by gcc 4.8.5 20150623 (Red Hat...
简单七步解决SSL安全问题和漏洞
主题模板站的博客
01-28 2098
而因为POODLE攻击的发现,SSL 3.0 现在也被视为遭受破坏,且不应该被支持。基于此,SSL必须是从可靠的证书颁发机构(CA)获取,而且CA的市场份额越大越好,因为这意味着证书被撤销的几率更低。大多数浏览器会将具有EV证书的网站显示为安全绿色网站,这为最终用户提供了强烈的视觉线索,让他们知道该网站可安全访问。客户端发起的重新协商可能导致拒绝服务攻击,这是严重的SSL安全问题,因为这个过程需要服务器端更多的处理能力。少于128位的密码应该被禁用,因为它们没有提供足够的加密强度。第五步:禁用TLS压缩。
Nginx 修复TLS1.0漏洞并扫描TLS协议
weixin_42258548的博客
04-06 10000
Nigx 修复TLS1.0漏洞并扫描TLS协议1.服务器报警:启用了不安全的TLS1.0协议2.配置好后重启服务器3.扫描TLS协议4.完 1.服务器报警:启用了不安全的TLS1.0协议 解决方法: 找到主机的Ngix配置文件所在目录 如:/alidata/server/nginx/conf/vhosts 将该目录下所有配置文件的 ssl_protocols 改为 TLSv1.2 TLSv1.3 ssl_protocols TLSv1.2 TLSv1.3; 若配置文件里面没有ssl_protocols
nginx ssl配置
网络架构
12-16 2589
0.基础命令 0、检查 nginx 版本: sudo nginx -v 1、停止nginx服务: sudo systemctl stop nginx 2、再次启动: sudo systemctl start nginx 3、重新启动nginx服务: sudo systemctl restart nginx 4、在进行一些配置更改后重新加载Nginx服务: sudo systemctl reload nginx 5、禁用nginx服务在启动
服务器Ssl协议漏洞,Nginx升级加固SSL/TLS协议信息泄露漏洞(CVE-2016-2183)和HTTP服务器的缺省banner漏洞...
weixin_39800971的博客
08-03 673
Nginx升级加固SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞说明// 基于Nginx的https网站被扫描出SSL/TLS协议信息泄露漏洞(CVE-2016-2183),该漏洞是在安装Nginx时build的Openssl版本问题导致的漏洞,// 需要重新编译安装Nginx并指定版本的Openssl(可以不升级系统的openssl,编译过程中只要指定新的openssl路径即可...
nginx 之 TLS1.3配置
enjoy.day
11-29 7877
配置TLS1.3 环境: nginx 1.20 openssl 1.1.1l 如果查看openssl支持的ciphers 使用命令openssl ciphers 如何查看openssl支持的所有TLS/SSL版本: penssl s_client -help 2>&1 | awk '/-(ssl|tls)[0-9]/{print $1}' 配置tls1.3 ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; #增加 TLSv1.3 ssl_cipher
java+wsdl+soap超时,解决SOAP客户端在请求https时设置超时时间无效导致进程卡死问题...
weixin_32480781的博客
03-21 1590
目前有一个进程服务脚本是不断查询渠道的接口,但是历史问题是有时订单量大的时候进程会卡死,这次遇到了进行排查一下:首先获取该进程IDps -aux | grep QueryABC.phpsync360 11115 0.0 0.0 6564 864 ? Ss 14:00 0:00 /bin/sh -c /usr/local/bin/php /xxxx/xxxx/xx...
SSL2.0和3.0漏洞修复方式
06-13
SSL2.0和SSL3.0是已经被证明存在安全漏洞的旧版SSL协议,通常不建议使用。如果必须使用SSL2.0或SSL3.0,可以采取以下措施来修复它们的漏洞: 1. 禁用SSL2.0和SSL3.0协议:禁用这两个不安全的协议是最好的解决方法。这可以通过服务器配置文件或者浏览器设置来完成。 2. 更新SSL证书:如果必须使用SSL2.0或SSL3.0,更新SSL证书可以提高安全性。新的证书通常包含更强的加密算法和更好的安全性能。 3. 更新SSL库:更新SSL库可以修复一些已知的SSL漏洞,并提供更好的安全性能。 4. 使用更安全的TLS协议:TLSv1.2和TLSv1.3是当前最安全的TLS协议,使用它们可以提高安全性。 5. 使用加密套件:使用更强的加密套件,如AES和RSA,可以提高安全性。 6. 定期更新和监测:定期更新SSL证书和SSL库,并监测SSL漏洞,可以及时发现并解决安全问题。 总之,禁用SSL2.0和SSL3.0是最好的解决方法,同时也应该使用更安全的TLS协议和加密套件来提高安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值