SSL/TLS协议信息泄露漏洞修复

已于 2024-08-22 20:39:05 修改
阅读量1.3k 收藏 10
点赞数 10
文章标签: ssl 网络 服务器
于 2024-08-22 20:34:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/t631048648/article/details/141437009
版权

概述:CVE-2016-2183 是一个涉及 SSL/TLS 协议信息泄露的漏洞,也被称为 "SWEET32" 攻击。该漏洞利用了某些对称加密算法(如 3DES)的弱点,攻击者可以通过捕获和分析大量的加密流量,可能会恢复明文数据。

目录

1. 升级算法

1.1 更新 OpenSSL 配置

1. 使用 yum 更新系统

2. 检查 OpenSSL 版本

3. 更新 OpenSSL

4. 从源代码编译 OpenSSL(可选)

5. 验证安装

2. 配置服务器

2.1配置 Web 服务器

2.2重启服务

检查和更新系统

验证安装

更新 Nginx 配置

3.扫描验证

1. 升级算法

为了防止被 SWEET32 攻击利用,应该在服务器配置中禁用 3DES 加密算法。可以通过更新 OpenSSL 和相关服务的配置文件来实现。

1.1 更新 OpenSSL 配置

1. 使用 yum 更新系统

首先,尝试更新系统并升级所有现有软件包:

sudo yum update

2. 检查 OpenSSL 版本

确认当前系统中的 OpenSSL 版本:

openssl version

3. 更新 OpenSSL

如果 yum 仓库中有更新的 OpenSSL 版本,使用以下命令进行安装:

sudo yum install openssl openssl-devel

如果没有可用的更新版本,并且需要更高版本的 OpenSSL,可以考虑从源代码编译安装最新的 OpenSSL 版本:

4. 从源代码编译 OpenSSL(可选)

注意: 从源代码编译安装软件包是有风险的,请确保备份重要数据。

# 安装所需的编译工具和依赖项
sudo yum groupinstall 'Development Tools'
sudo yum install perl-core zlib-devel

# 下载并解压 OpenSSL 源代码
wget https://www.openssl.org/source/openssl-1.1.1v.tar.gz
tar -zxf openssl-1.1.1v.tar.gz
cd openssl-1.1.1v

# 配置并编译安装 OpenSSL
./config --prefix=/usr/local/openssl --openssldir=/usr/local/openssl shared zlib
make
sudo make install

# 备份原有的 OpenSSL 可执行文件,并更新为新的版本
sudo mv /usr/bin/openssl /usr/bin/openssl.bak
sudo ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl

# 更新库文件路径
sudo sh -c "echo '/usr/local/openssl/lib' > /etc/ld.so.conf.d/openssl.conf"
sudo ldconfig -v

 如果下载不了:https://cloud.189.cn/t/YJre2aAzEvEr (访问码:8eik)

5. 验证安装

再次检查 OpenSSL 版本以确认升级成功:

openssl version

2. 配置服务器

2.1配置 Web 服务器

Apache HTTPD: 如果你使用的是 Apache,可以通过修改 /etc/httpd/conf.d/ssl.conf 文件来禁用 3DES。

sudo vi /etc/httpd/conf.d/ssl.conf

找到 SSLCipherSuite 这一行,并将其修改为:

SSLCipherSuite HIGH:!aNULL:!MD5:!3DES
SSLProtocol All -SSLv2 -SSLv3 -TLSv1 -TLSv1.1

Nginx: 如果你使用的是 Nginx,可以通过修改 /etc/nginx/nginx.conf 文件来禁用 3DES。

sudo vi /etc/nginx/nginx.conf

找到 ssl_ciphers 这一行,并将其修改为:

# 优化后的加密套件配置
    ssl_ciphers 'ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-CHACHA20-POLY1305:!3DES:!aNULL:!MD5:!RC4';
# 使用更安全的 TLS 版本
    ssl_protocols TLSv1.2 TLSv1.3;

2.2重启服务

sudo systemctl restart httpd  # Apache
sudo systemctl restart nginx  # Nginx
检查和更新系统

确保系统上的软件包都是最新的,包括 OpenSSL:

sudo dnf update openssl
验证安装

再次检查 OpenSSL 版本以确认升级成功:

openssl version
更新 Nginx 配置

一旦 OpenSSL 升级完成,按照之前的步骤更新 Nginx 配置以禁用不安全的协议和加密套件,然后重启 Nginx:

sudo systemctl restart nginx

3.扫描验证

更新配置后,再次使用 nmap 进行扫描,确认 TLSv1.0 和 TLSv1.1 已禁用,且 3DES 加密算法不再被支持。

nmap --script ssl-enum-ciphers -p 443 <your_server_ip>

正确的应该长这样:

如果是以下这种说明没有成功!!新的配置并没有生效,TLSv1.0 和 TLSv1.1 仍然被支持,并且 3DES 加密算法也依然存在

结果:Host is up (0.024s latency).
PORT    STATE SERVICE
443/tcp open  https
| ssl-enum-ciphers:
|   SSLv3: No supported ciphers found
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 - strong
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_128_GCM_SHA256 - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA - strong
|       TLS_RSA_WITH_AES_256_CBC_SHA256 - strong
|       TLS_RSA_WITH_AES_256_GCM_SHA384 - strong
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA - strong
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA - strong
|     compressors:
|       NULL
|_  least strength: strong

Nmap done: 1 IP address (1 host up) scanned in 1.47 seconds

童龙辉
关注
windows 修复SSL/TLS协议信息泄露漏洞
Hu_wen的专栏
08-15 3169
打开“SSL密码套件顺序”,更改为已启用,并在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,定位到计算机配置-管理模板-网络-SSL配置设置。...
Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
php小菜鸟
07-26 2066
打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,依次打开计算机配置-管理模板-网络-SSL配置设置。打开“SSL密码套件顺序”,更改为已启用,并修改套件算法,去掉TLS1.1版本算法。替换成以上内容,重启,复扫,OK。
IISCrypto 解决SSL/TLS协议信息泄露漏洞的工具
03-22
Windows 2008、2012、2016 服务器版本 SSL/TLS协议信息泄露漏洞(CVE-2016-2183),SSL 配置工具
weblogic_tlsssl漏洞修复方案
05-18
weblogic_tlsssl漏洞修复方案
修复 K8s SSL/TLS 漏洞CVE-2016-2183)指南
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复
最新发布
weixin_45251630的博客
09-02 446
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。安装nmap:nmap的下载地址https://nmap.org/download#linux-rpm,TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。如果服务器有防火墙,直接在服务器安装完nmap以后,直接执行。如果没有防火墙可以指直接用笔记本电脑的namp测试。
Windows下修复SSL/TLS协议信息泄露漏洞CVE-2016-2183
AZerork的博客
12-12 2万+
很久没水文章了,之前遇到漏扫软件扫出一台Windows Server存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183),漏扫提供的修补链接已经失效,又在在网上查了很多文章,基本都是CtrlCV毫无作用,于是自己翻看了漏洞信息后弄了个修复方法。以下仅根据漏洞信息修复方向讨论如何确认漏洞是否存在和修复方法。
k8s安全测评漏洞SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 1368
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)解法
diaya的专栏
05-13 644
2. 本地组策略编辑器-->计算机配置-->管理模板-->网络-->SSL配置设置-->启用“SSL。3. 将原有的密码套件值清空,拷入下面的值,保存设置,并重启服务器即可。1.运行gpedit.msc,进入本地组策略编辑器。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)(原理扫描)漏洞修复
cp的博客
08-23 3640
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)(原理扫描)漏洞修复
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
安全合规之CVE-2016-2183
Eric.zhong
02-27 2298
安全部门脆弱性扫描到如下的风险漏洞要求系统上线必须要修复完毕。不过我仔细的看了安全部门返回的报告,它是针对Windows Server 2019远程桌面端口进行风险报告…这是刷存在感了吗?哎,没有办法先做调查确认,然后再去考虑修复。此远程桌面是不对外发布的,但也需要针对此问题进行修复…才叫折磨人…
nginx漏洞CVE-2016-2183处理
qq_44209441的博客
01-08 1166
所以,使用 OpenSSL 1.1.1j 版本的 NGINX 不受此漏洞的影响,因为 OpenSSL 1.1.1 版本解决了该漏洞。进入以前版本的nginx目录,找到nginx程序,执行 nginx -V,复制configure arguments。下载nginx源码包,重新编译,执行时加上 --with-openssl=/path/to/openssl。然后执行make,不用执行make install,用/objs目录下的nginx替换以前的nginx。,指定相应的新版本的openssl模块。
OpenSSL 信息泄露漏洞CVE-2016-2183)&& 目标主机使用了不受支持的SSL加密算法
qq_44929154的博客
07-29 1072
编辑Nginx配置文件:使用文本编辑器打开Nginx的配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/conf.d/目录下的某个文件)。修改ssl_ciphers指令:在server块中找到ssl_ciphers指令,并移除包含“3DES”的密码套件。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
冰恋云的专栏
05-21 5786
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 22万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
服务器——SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复办法
xhy1999的博客
11-17 8427
近期某台Windows Server服务器的远程连接端口(3389)被扫出了SSL/TLS协议信息泄露漏洞(CVE-2016-2183),尝试了网上很多复制来复制去的"解决方法",直接导致堡垒机连不上服务器,每次连不上服务器又得去找服务器提供方,真的非常麻烦,在此不得不吐槽一下某些不负责任的复制粘贴,同时,记录下真正的解决方案以供大家参考。
Windows Server2012 R2修复SSL/TLS漏洞CVE-2016-2183
Linux I Tell U
11-18 5078
是一个TLS加密套件缺陷,存在于OpenSSL库中。该缺陷在于使用了弱随机数生成器,攻击者可以利用此缺陷预测随机数的值,从而成功绕过SSL/TLS连接的加密措施,实现中间人攻击。这个漏洞影响了OpenSSL 1.0.2版本之前的版本,而在1.0.2版本及以后的版本中已经修复了该漏洞
windows server cve-2016-2183 ssl/tls协议信息泄露漏洞修复脚本
05-01
CVE-2016-2183是一种SSL/TLS协议信息泄露漏洞,可能允许攻击者披露SSL/TLS连接的一些内容,包括密钥。为了缓解该漏洞的风险,需要使用Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本。 修复脚本本质上就是一些批处理命令,用于修改注册表以更改Windows服务器SSL/TLS协议的配置。首先,需要下载修复脚本并保存为“fix.reg”文件。然后,跟随以下步骤修复漏洞: 1. 在管理员命令提示符中运行命令“regedit”打开注册表编辑器。 2. 导入修复脚本文件“fix.reg”。 3. 确认是否有一条类似于“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.1\Client”的新注册表密钥被添加,如果没有则手动创建。 4. 在该密钥中创建一个新DWORD值并将其命名为“DisabledByDefault”,将值设置为“1”以禁用该协议。 5. 重复步骤4以在“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\Schannel\Protocols\TLS 1.2\Client”中禁用TLS 1.2协议。 执行以上步骤后,应该禁用了TLS 1.1和TLS 1.2协议。这有助于减少攻击者利用此漏洞的可能性,同时确保服务器上的SSL/TLS协议更加安全。请注意,对于不同版本和配置的Windows Server,此修复脚本可能会有所不同,建议参考相关产品文档或咨询专业人员实施修复措施。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值