Nginx遇到TLS Client-initiated 重协商攻击(CVE-2011-1473)

最新推荐文章于 2024-06-14 16:45:25 发布
最新推荐文章于 2024-06-14 16:45:25 发布
阅读量1.1k 收藏 25
点赞数 14
文章标签: nginx 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_24056881/article/details/136399810
版权
本文介绍了CentOSLinux7中SSLrenegotiation漏洞的影响、原因,以及如何通过升级OpenSSL版本和重新配置nginx来解决此问题,包括可能遇到的问题及解决方法,最后详细步骤说明了如何配置SSL证书和启动nginx服务。
摘要由CSDN通过智能技术生成

现场环境

        系统:CentOS Linux 7

        代理服务器:nginx   

漏洞描述

        该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renegotiation被用于浏览器到服务器之间的验证。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说,则需要20台电脑和120Kbps的网络连接即可实现。SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。

具体原因

        根据国家安全漏洞库描述,OpenSL 0.9.8之前版本和0.9.8m版本至1x版本中存在权限许可和访问控制问题漏洞。

解决办法

        升级openssl并重新安装nginx

卸载原有openssl

rpm -qa | grep openssl

显示
openssl-0.9.8e-12.el5
openssl-devel-0.9.8e-12.el5

rpm -e 以上包名称

安装openssl3.x

参考 http://t.csdnimg.cn/P7baW

安装nginx指定openssl3.x并配置https

(1)下载nginx安装包


wget http://nginx.org/download/nginx-1.22.1.tar.gz 


(2)解压

tar -xzvf nginx-1.22.1.tar.gz


(3)编译、安装


cd nginx-1.22.1
./configure  --prefix=/usr/local/nginx --with-http_ssl_module --with-openssl=/usr/local
可能遇到的问题1:
the HTTP rewrite module requires the PCRE libraryh
执行yum -y install pcre-devel命令,并重新解压执行

可能遇到的问题2:
the HTTP gzip module requires the zlib library
执行yum install -y zlib-devel命令,并重新解压执行

make && make install

可能遇到的问题:(基本上一定会出现!!!)
make -f objs/Makefile
make[1]: 进入目录“/opt/soft/nginx-1.22.1”
cd /usr/local/openssl
&& if [ -f Makefile ]; then make clean; fi
&& ./config --prefix=/usr/local/openssl/.openssl no-shared no-threads
&& make
&& make install_sw LIBDIR=lib
/bin/sh:行2: ./config: 没有那个文件或目录
make[1]: *** [/usr/local/openssl/.openssl/include/openssl/ssl.h] 错误 127
make[1]: 离开目录“//opt/soft/nginx-1.22.1”
make: *** [build] 错误 2

原因就是nginx源码中openssl的路径错了
解决办法:进入nginx解压目录下中,修改conf文件。

cd /opt/soft/nginx-1.22.1/auto/lib/openssl
vim conf

把文件中所有的.openssl替换为openssl,把所有的lib/替换为lib64/

make clean
并重新执行
./configure  --prefix=/usr/local/nginx --with-http_ssl_module --with-openssl=/usr/local
make && make install

(4)配置证书并开启ssl

vim /usr/local/nginx/conf/nginx.conf

在server下配置:

#国际 RSA 证书
ssl_certificate                 certs/rsa.crt;
ssl_certificate_key             certs/rsa.key;

ssl_session_timeout 5m;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4;
 #表示使用的加密套件的类型。
ssl_protocols TLSv1 TLSv1.1 TLSv1.2; #表示使用的TLS协议的类型。
ssl_prefer_server_ciphers on;

(证书自行下载)

(5)启动


cd /usr/local/nginx/sbin
./nginx 

这样就大功告成啦!

朱小姐很漂亮
关注
  • 14
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
TLS Client-initiated 协商攻击(CVE-2011-1473)漏洞验证测试
afei001
03-07 7005
目录 1.前言 2.TLS Client-initiated协商漏洞概述 3.漏洞验证 4.漏洞修复 4.1 缓解措施 4.1 针对各中间件修复建议 1.前言 最近在对网站进行安全漏扫时,使用绿盟RSAS远程评估系统发现了TLSClient-initiated 协商攻击(CVE-2011-1473)漏洞。最后经过人工验证,发现该漏洞属于误报。这里记录修复过程和验证方法。 2.TLS Client-initiated协商漏洞概述 该漏...
SSLTLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】解决说明
weixin_33946605的博客
11-17 6999
一.  修改SSL密码套件 1.1  加固方法: 1.1.1  操作步骤: 第一步:按下' Win + R',进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"。 第二步:打开计算机配置->管理模板->网络->SSL配置设置。 第三步:在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在
常见绿盟扫描主机漏洞及修复方案
06-11 1万+
1、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】 中 修复意见: 建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞,使用了Secure Renegotiation。 2、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 中 修复意见: 对于NGINX的修补 修改nginx配置文件中的 ssl_ciphers项 ssl_ciphers"ECDHE-..
服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473) 修复记录
热门推荐
weixin_48335916的博客
06-24 2万+
服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473) 修复记录 根据漏洞扫描反馈的结果,发现存在“服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473)”漏洞,端口为443 查看端口443端口对应的PID,并找出对应的服务,最后发现433端口的服务是VM netstat -anp|findstr "443" wmic process get name,executablepath,processid|findstr pid
CVE-2011-1473: OpenSSL权限许可和访问控制问题漏洞及解决方案
最新发布
世上哪有什么岁月静好,不过是有人替你负重前行
06-14 488
CVE-2011-1473: OpenSSL权限许可和访问控制问题漏洞。
RocketMQ TLS Client-initiated 协商攻击(CVE-2011-1473)
xieqj_0511的博客
06-16 6952
CVE-2011-1473安全漏洞修改,针对rocketmq
漏洞修复:TLS Client-initiated协商攻击CVE-2011-1473
u012785397的博客
05-14 2850
修复通过jsse实现的ssl/tls安全协商漏洞。
服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473复现验证)
qq_45300786的博客
06-08 1万+
一、使用bash脚本(tls-reneg )可验证 https://github.com/c826/bash-tls-reneg-attack ./tls-reneg.sh host:端口 二、使用openssl可验证 openssl s_client -connect host:端口 三、使用testssl脚本可验证 一、SWEET32(CVE-2016-2183) 使用3DES的任何密码都易受SWEET32影响 命令:./testssl.sh -W 192.168.1.22 二、DROWN(CVE-
漏洞修复:RocketMQ TLS Client-initiated 协商攻击(CVE-2011-1473)
weixin_54626591的博客
03-26 1967
RocketMQ TLS Client-initiated 协商攻击(CVE-2011-1473)
win环境使用nginxnginx-http-flv-module.zip
08-24
在windows 7 64位 环境下使用nginxnginx-http-flv-module搭建flv视频流播放所有的安装包,参考:https://blog.csdn.net/qq_33071429/article/details/102628008
windows下编译nginx-http-flv-moudle
11-18
在Windows环境下编译`nginx-http-flv-module`是一项技术性的任务,主要目的是为了实现HTTP FLV协议的直播功能,使得用户可以通过浏览器中的FLVJS库或者无插件Flash播放器来观看直播内容。这个模块是Nginx的一个扩展...
nginx+ffmpeg+nginx-http-flv-module+html资源包
05-11
在本资源包中,提供的`nginx-1.20.2.tar.gz`是Nginx的源码包,版本为1.20.2。安装时,通常需要编译源码,执行`./configure`、`make`和`make install`等步骤。 2. **FFmpeg**: FFmpeg是一套强大的多媒体处理工具,...
nginx + nginx-http-flv-module-1.2.9
07-06
标题 "nginx + nginx-http-flv-module-1.2.9" 暗示我们要讨论的是一个基于 Nginx 的 HTTP FLV 模块,版本号为 1.2.9。Nginx 是一个高性能的 Web 和反向代理服务器,而 nginx-http-flv-module 是 Nginx 的一个扩展...
nginxnginx-http-flv模块windows编译版rtmp
11-07
**NginxNginx-RTMP及Nginx-HTTP-FLV模块** Nginx是一款高性能、轻量级的Web服务器/反向代理服务器,被广泛应用于高并发场景,尤其在处理静态文件、HTTP缓存以及反向代理等方面表现出色。Nginx以其高效的事件驱动...
linux关闭SSL协商功能,Nginx启动SSL功能,并进行功能优化详细介绍
weixin_30598047的博客
05-15 1707
Nginx启动SSL功能,并进行功能优化,你看这个就足够了一:开始Nginx的SSL模块1.1 Nginx如果未开启SSL模块,配置Https时提示错误nginx: [emerg] the "ssl" parameter requires ngx_http_ssl_module in /usr/local/nginx/conf/nginx.conf:37原因也很简单,nginx缺少http_ssl...
linux源码编译安装apache( httpd-2.4.53)处理服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473)
liaodaoguo的博客
03-30 1745
linux源码编译安装apache 首先我们需要下载相关的依赖包 apr、apr-util、pcre 1.配置依赖环境 (1) 配置apr依赖 解压依赖包: tar -xf apr-1.7.0.tar.gz 进入解压后的目录:cd apr-1.7.0 配置(设置安装在/usr/local/apr):./configure --prefix=./configure --prefix=/usr/local/apr 编译并安装:make && make install (2) 配置apr-util
协商攻击(CVE-2011-1473) 漏洞处理
Allen技术小站
09-02 9528
协商攻击(CVE-2011-1473) 漏洞处理
干货|白话SSL/TLS默认协商漏洞原理与安全协商对抗机制
中兴开发者社区
11-14 1万+
点击上方“中兴开发者社区”,关注我们 每天读一篇一线开发者原创好文 SSL/TLS协议是现代互联网安全的基础,任何网上银行、电子商务、电子政务、电子医疗等等互联网要应用,都要基于SSL/TLS提供的安全、保密、可信机制才能正常运行。所以,任何SSL/TLS安全漏洞都值得我们深入研究并理解。 什么是协商? 在SSL/TLS协议中,协商是指通信双方客户端和服务器,选取
【解决方案】服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473)
10年职场两茫茫,35岁凄凉奈若何
10-14 8212
【解决方案】服务器支持 TLS Client-initiated 协商攻击(CVE-2011-1473)
nginx cve-2022-41742 修复
08-05
对于 NginxCVE-2022-41742 的修复,我可以提供一些建议。请注意,以下建议仅供参考,并且可能需要根据您的具体环境和需求进行调整。 1. 升级 Nginx 版本:首先,确保您的 Nginx 版本是最新的稳定版本。访问 Nginx 官方网站或者源码仓库,下载并安装最新版本的 Nginx。 2. 应用安全补丁:如果官方发布了特定于 CVE-2022-41742 的安全补丁,您应该下载并安装该补丁。确保按照官方的指导进行操作。 3. 配置安全策略:检查您的 Nginx 配置文件,并确保已经采取了适当的安全策略。这包括限制访问权限、启用访问日志、使用 HTTPS 加密等。 4. 使用 WAF:考虑使用 Web 应用程序防火墙 (WAF) 来加强对攻击的防御。WAF 可以帮助检测和阻止潜在的恶意请求。 5. 定期更新和监控:持续关注 Nginx安全公告和更新,并及时进行升级。同时,定期监控服务器日志和网络流量,以便发现可能的安全问题。 6. 参考安全最佳实践:参考 Nginx安全最佳实践指南,了解如何更好地保护您的服务。这些指南通常提供了一些建议和配置示例,以减轻潜在的安全风险。 请记住,这些建议只是起点,您还应该根据您的具体情况和需求进行适当的调整和补充。最好与安全专家或者系统管理员一起评估和执行这些修复措施。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值