OpenSSL信息泄露漏洞(CVE-2016-2183)修复方案

最新推荐文章于 2025-03-26 11:38:21 发布
最新推荐文章于 2025-03-26 11:38:21 发布
阅读量1k 收藏 4
点赞数 5
分类专栏: 日常积累 文章标签: 后端 nginx 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43038960/article/details/144178940
版权

漏洞描述:

OpenSSL是OpenSSL团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。 OpenSSL 的 TLS、SSH和IPSec协议和其它协议及产品中使用的DES和Triple DES密码算法存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。 Birthday Attack这个术语来源于生日问题:在一个教室中最少应有多少学生才使得至少有两个学生的生日在同一天的概率不小于1/2?答案是23。如60人以上,概率大于99%,如70人以上,概率大于99.9%。TLS、SSH和IPSec协议以及其他协议和产品中使用的DES和3DES算法,约40亿个块存在生日冲突问题,这使得远程攻击者更容易通过针对长时间加密会话的生日攻击获取明文数据,在CBC模式下使用3DES的HTTPS会话,被称为“Sweet32”攻击。

修复建议:

避免使用IDEA、DES和3DES算法。

  1. OpenSSL用户补丁获取链接:https://www.openssl.org/blog/blog/2016/08/24/sweet32/
  2. 对于nginx、apache、lighttpd等服务器修改conf文件,禁止使用DES加密算法;
  3. Windows系统参考如下链接:https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

nginx配置:

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!3DES;
ssl_protocols TLSv1.1 TLSv1.2 LSv1.3;

参考文章:https://blog.csdn.net/weixin_47964022/article/details/141598069

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复
weixin_45251630的博客
09-02 2758
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。安装nmap:nmap的下载地址https://nmap.org/download#linux-rpm,TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。如果服务器有防火墙,直接在服务器安装完nmap以后,直接执行。如果没有防火墙可以指直接用笔记本电脑的namp测试。
windows修复SSL漏洞CVE-2016-2183
leonnew的博客
07-27 5372
勾选已启用->修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。2、计算机配置->管理模板->网络->SSL配置设置。3、SSL密码套件顺序->右击->编辑。需要重新启动服务器生效。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 25万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞: TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
SSl TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】漏洞修复
最新发布
weixin_55358075的博客
03-26 924
1、找到控制面板,控制面板->网络和 Internet->Internet选项。5、点击SSL密码套件顺序,点击编辑,点击已启用,SSL密码套件内容要编辑。3,接着win+r键打开运行,输入gpedit.msc ,点击确定。4、进入本地组策略编辑器,找到SSL密码套件顺序。2、只选择TLS1.2,点击应用和确定。6、输入以下内容,并确定。
Windows下修复SSL/TLS协议信息泄露漏洞CVE-2016-2183
AZerork的博客
12-12 3万+
很久没水文章了,之前遇到漏扫软件扫出一台Windows Server存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183),漏扫提供的修补链接已经失效,又在在网上查了很多文章,基本都是CtrlCV毫无作用,于是自己翻看了漏洞信息后弄了个修复方法。以下仅根据漏洞信息从修复方向讨论如何确认漏洞是否存在和修复方法。
CVE-2016-2183漏洞修复
weixin_50712581的博客
07-13 1834
漏洞是由于 OpenSSL 中 DH 密钥交换算法的一个错误实现导致的,攻击者可以利用此漏洞对传输的加密流量进行中间人攻击,从而窃取加密通信内容。在该版本中,OpenSSL 官方对 DH 密钥交换算法实现进行了修复修复CVE-2016-2183 漏洞,并添加了一些其他的安全补丁和功能改进。如果您使用的是 OpenSSL 1.0.2d 到 1.0.2h 版本之间的任何版本,则可能会受到 CVE-2016-2183 漏洞的影响。这是由于openssl库的位置不正确造成的。
Linux漏洞SSL/TLS协议信息泄露漏洞(CVE-2016-2183) - 非常危险(7.5分) 解决办法!升级openssl
qq_41867674的博客
05-28 2297
查看openssl版本 openssl version -a会显示全面详细信息。3、配置openssl安装目录。2、解压openssl。6、添加动态链接库数据。8、验证openssl
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Windows系统修复SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)
baidu_25691461的博客
12-10 3358
windows机器检查出现问题:SSLTLS协议信息泄露漏洞CVE-2016-2183),并且是高危漏洞,必须修复
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复漏洞,升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
windows SSL漏洞 CVE-2016-2183
weixin_42477596的博客
04-30 1130
验证工具下载链接。
Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183) --亲测
冰恋云的专栏
11-27 4866
打开服务器,运行gpedit.msc,打开“本地编辑器”,依次打开计算机配置-管理-网络-配置设置。打开“SSL密码套件顺序”,更改为已启用,并修改套件,去掉TLS1.1版本算法。替换成以上内容,重启,复扫,OK。
OpenSSL 信息泄露漏洞CVE-2016-2183)&& 目标主机使用了不受支持的SSL加密算法
qq_44929154的博客
07-29 2779
编辑Nginx配置文件:使用文本编辑器打开Nginx的配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/conf.d/目录下的某个文件)。修改ssl_ciphers指令:在server块中找到ssl_ciphers指令,并移除包含“3DES”的密码套件。
Windows Server2012 R2修复SSL/TLS漏洞CVE-2016-2183
Linux I Tell U
11-18 6523
是一个TLS加密套件缺陷,存在于OpenSSL库中。该缺陷在于使用了弱随机数生成器,攻击者可以利用此缺陷预测随机数的值,从而成功绕过SSL/TLS连接的加密措施,实现中间人攻击。这个漏洞影响了OpenSSL 1.0.2版本之前的版本,而在1.0.2版本及以后的版本中已经修复了该漏洞
Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
php小菜鸟
07-26 4730
打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,依次打开计算机配置-管理模板-网络-SSL配置设置。打开“SSL密码套件顺序”,更改为已启用,并修改套件算法,去掉TLS1.1版本算法。替换成以上内容,重启,复扫,OK。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复方法
晓梦林的博客
04-02 8万+
前言: 关于SSL/TLS协议信息泄露漏洞(CVE-2016-2183)的处理方法,网上教程一大堆。 我以 windows操作系统 为例,浅谈一下我对这个漏洞修复的理解。 一、win7操作系统 1、打开控制面板 打开网络和Internet 2、打开Internet 选项 3、选择高级 4、下滑选项 找到 TLS 只勾选 使用TLS 1.2 5、win+R 输入gpedit.msc 打开组策略编辑器 6、依次选择 计算机配置 管理模板 网络 SSL配置设置 并双击打开 7、点击已启用
OpenSSL 信息泄露漏洞CVE-2016-2183
01-11
### 关于 OpenSSL CVE-2016-2183 信息泄露漏洞详情 OpenSSL 中存在一个信息泄露漏洞,编号为 CVE-2016-2183。该漏洞源于 OpenSSL 的 CBC 密码模式实现中的错误处理机制不当,在特定条件下可能会导致敏感数据的意外暴露[^1]。 受影响版本包括但不限于: - OpenSSL 1.0.2h 及之前版本 - OpenSSL 1.0.1t 及之前版本 此漏洞可能允许远程攻击者利用精心构建的数据包触发条件竞争状况,从而获取部分解密后的明文内容,进而造成信息泄露风险。 ### 修复方案概述 为了有效解决上述提到的信息泄露问题,官方已发布更新补丁来修正这一缺陷。具体措施如下: #### 更新至最新稳定版 OpenSSL 对于不同分支的支持情况分别为: - 对于 OpenSSL 1.x 版本系列,应升级到至少包含对应修复程序的子版本。 ```bash yum update openssl # CentOS/RHEL 用户适用命令 apt-get install --only-upgrade openssl # Debian/Ubuntu 用户适用命令 ``` #### 手动编译安装(适用于自定义环境) 如果无法直接通过软件源获得最新的安全更新,则可以选择下载并手动编译安装经过修补的新版本。 ```bash wget https://www.openssl.org/source/openssl-<version>.tar.gz tar -xf openssl-<version>.tar.gz cd openssl-<version> ./config no-ssl2 shared zlib-dynamic make depend && make sudo make install ``` 完成以上操作之后,务必重启所有依赖于 OpenSSL 库的服务进程以确保变更生效,并验证新版本是否正常工作。 此外,针对 Windows Server 平台还提供了专用的安全维护工具用于自动化部署和检测过程,能够帮助系统管理员更加快捷方便地实施必要的防护措施[^2]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值