修复SSL RC4 Cipher Suites Supported (Bar Mitzvah)漏洞

最新推荐文章于 2023-10-26 17:45:13 发布
最新推荐文章于 2023-10-26 17:45:13 发布
阅读量5.2k 收藏 5
点赞数 1
分类专栏: 安全 文章标签: 安全 nginx linux https 漏洞修复
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42534026/article/details/113392561
版权

简述

软件版本
CentOSCentOS Linux release 7.4.1708 (Core)
Nginxnginx/1.19.4

漏洞描述:SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。

其实简单说,就是因为Nginx中ssl配置的RC4加密算法过弱造成的,将改成一个较强的算法就可以了。

查看漏洞

首先了解一下,nignx默认ssl中的加密算法,查看nginx.conf文件,找到 ssl_ciphers
在这里插入图片描述
可以通过 openssl s_client -connect 网站|IP地址:端口 -cipher RC4验证算法强度
在这里插入图片描述
在这里插入图片描述
可以看到,很多信息都被泄露了,可以被获取,这就是漏洞所在。

修改ssl_ciphers的加密算法

编辑nginx.conf文件,找到 ssl_ciphers,将默认算法注释,然后更改为以下加密算法

ssl_ciphers  "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

在这里插入图片描述

验证

重载nginx

/路径/nginx -s reload

再次执行 openssl s_client -connect 网站|IP地址:端口 -cipher RC4
在这里插入图片描述
增强加密算法之后,就获取不到证书了,解决了算法较弱的问题。

虚伪的空想家
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
rc4加密问题漏洞修复_「ssl漏洞」网站SSL安全漏洞修复指南
weixin_32022555的博客
12-24 2227
前段时间对公司的网站进行了一下扫描,使用的是awvs扫描器,发现了几处SSL方面的安全漏洞,网上找了一些修复的建议,分享给大家,如果你也遇到和我一样的问题,可以用此修复。Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export ci...
服务器SSL/TLS RC4 信息泄露漏洞解决方法
最新发布
2401_85693454的博客
06-17 216
服务器SSL/TLS RC4 信息泄露漏洞解决方法
漏洞SSL RC4 加密套件支持检测 (Bar Mitzvah)【原理扫描】
spring_is_coming的博客
05-26 7215
漏洞SSL RC4 加密套件支持检测 (Bar Mitzvah)【原理扫描】
中危漏洞SSL/TLS 存在Bar Mitzvah Attack漏洞,整改方法:
yjfkeifk的博客
01-18 4145
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128] “Enabled”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] “Enabled”=dword:00000000 [HKEY
APPSCAN 扫描出检测到RC4密码套件及针对SSL/TLS的浏览器使用又名BEAST)问题的解决方法
weixin_42735077的博客
08-06 5670
http://www.mamicode.com/info-detail-1729245.html
TLS重协商漏洞RC4加密安全套件漏洞
Entity_G的博客
10-08 911
TLS重协商漏洞RC4加密安全套件漏洞 禁用TLS1.0 setDomainEnv.sh 找到"JAVA_OPTIONS="处 weblogic10.3.6及以后版本: -Djava.net.preferIPv4Stack=true -Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.0 以前版本: -Dweblogic.security.SSL.protocolVersion=TLS1 注意:TLS1.2只有JDK8才默认支持,JDK7需要修改代
RC4.zip_RC4 Stream CIpher_rc4
09-20
RC4(Rivest Cipher 4)是由Ron Rivest在1987年设计的一种流密码算法,也被称作ARC4(Alleged RC4),由于其简单、快速且易于实现的特点,RC4在加密领域广泛应用,尤其是在网络通信中,比如SSL/TLS协议中就曾大量...
RC4.rar_CIPHER_rc4_流密码
09-22
在给定的“RC4.rar”压缩包中,包含了一个名为“RC4.CPP”的C++源代码文件和一个“RC4.H”的头文件,它们很可能实现了RC4算法的控制台应用程序。 流密码是密码学中的一种加密方式,与分组密码不同,它不将明文分割...
RC4.zip_RC4 Stream CIpher_rc4_rc4 文件
09-19
RC4,全称为Rivest Cipher 4,...总结起来,RC4是一种流密码算法,因其简洁和速度而被广泛应用,但鉴于已知的安全漏洞,它已经不再被视为安全的加密选择。在处理加密需求时,应优先考虑采用更现代的加密标准,如AES等。
arc4:Nodejs的rc4流密码
05-15
'utf16le'-2或4字节,小端编码的Unicode字符。 支持代理对(U + 10000至U + 10FFFF)。 'ucs2'-'utf16le'的别名。 'base64'-Base64字符串编码。 'binary'-一种仅使用每个字符的前8位将原始二进制数据编码为字符...
RC4-Cipher:CSharp中的RC4算法
03-26
在C#编程环境中,RC4算法也被广泛应用,特别是在加密和解密数据方面。本篇文章将深入探讨C#中实现RC4算法的关键知识点。 ### RC4算法原理 RC4算法基于一个名为S盒(State Box)的状态数组和两个指针变量。初始状态...
HttpClient :SSLHandshakeException: No appropriate protocol (protocol is disabled or cipher suite … )
khcsnmbs的博客
12-29 3544
该功能为了实现带证书登录, 正常运行了几个月后,突然报错SSLHandshakeException如标题: 找了最终级的解决办法是vim /usr/local/jdk/jar/lib/security/java.security 如下图,第一个红框是我改过之后的,第二框是我备份的,无非就是把SSLv3, TLSv1, TLSv1.1删掉就行。可是我这里还是不行, docker部署,运维不给开通特殊后门。 解决办法:sslConnectionSocketFacotry需要的两个特殊参数 suppor.
SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】修复方案
qq_45373631的博客
05-09 7742
SSL/TLS协议 RC4信息泄露漏洞被扫描出来,一般出现的问题在ssh和https服务上使用了RC4算法,修改配置文件就可以了。2.重启nginx服务 systemctl restart nginx.service。如果你是其它中间件原理是一样的,你需要找到你中间件的配置文件然后 禁用RC4:!1.禁止apache服务器使用RC4加密算法。1.禁止apache服务器使用RC4加密算法。反正不要使用RC4算法就好。2.重启apache服务。1.ssh禁用RC4算法。2.重启sshd服务。
SSL/TLS 存在Bar Mitzvah Attack漏洞,Windows IIS 禁用rc4 算法
林中明月间丶
10-26 966
漏洞: 解决:windows禁用rc4 算法-技术文章-jiaocheng.bubufx.com https://www.cnblogs.com/simonlee-hello/p/14779921.htmlRC4这套加密方法是在20世纪末期被研究出来并在2000年左右被大量的网站所使用,但是在02年出现了漏洞且持续了13年才被一个外国大佬所发现。成因总结来说:就是加密方式太老了,长时间更换网站加密方式导致了攻击者可以进行中间人攻击,能够有效地进行大量用户的嗅探监听和会话劫持。攻击者可以在特定环境下只通过嗅探
SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
一纸荒芜的博客
06-12 7501
nessus漏扫的漏洞修复
SSL Medium Strength Cipher Suites Supported (SWEET32)
热门推荐
par@ish的博客
05-06 1万+
Description The remote host supports the use of SSL ciphers that offer medium strength encryption. Nessus regards medium strength as any encryption that uses key lengths at least 64 bits and less than 112 bits, or else that uses the 3DES encryption suite.
修复SSL Medium Strength Cipher Suites Supported漏洞
小小关的博客
02-11 3126
漏洞描述 支持SSL中等强度密码套件(SWEET32),远程主机支持使用提供中等强度加密的SSL密码。Nessus将中等强度视为使用至少64位且小于112位的密钥长度的任何加密,否则使用3DES加密套件。 解决方案 问题为nginx配置文件中算法较弱的问题,修改一下加密算法即可。 修改nginx/conf.d/xxx.conf文件 找到ssl_ciphers,更改为以下算法 ssl_ciphers HIGH:!aNULL:!MD5:!DES:!3DES; 1 修改完成后,重启nginx刷新配置即可。
主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件
YNlanduiyun的博客
01-19 9394
一、漏洞分析 事件起因 2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥(《Weakness in the Key Scheduling Algorithm of RC4》,FMS 发表于2001年)进...
redhat6.5 修复SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞
06-06
修复RedHat 6.5上的SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞,可以按照以下步骤进行: 1. 升级OpenSSL版本:使用以下命令升级OpenSSL版本: ``` yum update openssl ``` 2. 禁用SSLv3和TLSv1协议:在OpenSSL的配置文件中,禁用SSLv3和TLSv1协议。打开/etc/httpd/conf.d/ssl.conf文件,找到以下两行: ``` SSLProtocol all -SSLv2 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA ``` 将其修改为: ``` SSLProtocol all -SSLv2 -SSLv3 -TLSv1 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!SEED:!IDEA:!3DES ``` 这样,就禁用了SSLv3和TLSv1协议,同时也禁用了使用3DES算法的加密套件。 3. 重启Apache服务:使用以下命令重启Apache服务: ``` service httpd restart ``` 完成以上步骤后,就可以修复RedHat 6.5上的SSL Medium Strength Cipher Suites Supported (SWEET32)漏洞。需要注意的是,如果有其他服务或应用程序也使用了OpenSSL,也需要在相应的配置文件中进行相应的修改。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

虚伪的空想家

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值