文章讲述了两个安全漏洞,一个是SSL/TLS协议中的SWEET32漏洞(CVE-2016-2183),它允许攻击者通过生日攻击检测密码文本泄露。另一个是Apache的SSL重协商漏洞(CVE-2011-1473),可能导致拒绝服务。文中提供了升级OpenSSL和禁用SSL重协商的解决方案。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
风险描述
远程主机支持在一个或多个密码套件中使用 64 位块的块密码。由于使用弱 64 位块密码,因而会受到一个称为 SWEET32 的漏洞影响。具有足够资源的中间人攻击者可利用此漏洞,通过“birthday”攻击检测会在固定密码与已知纯文本之间泄露 XOR 的冲突,进而泄露密码文本(例如安全 HTTPS Cookie),并可能导致劫持经认证的会话。概念验证表明,攻击者仅需 30 个小时就可以从 HTTPS 会话中恢复身份验证 cookie。请注意,在客户端和服务器之间通过相同的 TLS 连接发送大量请求的能力,是发动此攻击的重要条件。如果单个链接允许的请求数量有限,则会减轻该漏洞的严重性。该插件需要报告偏差,因为本次检测尚未检查该缓解措施。
处理方法
#查看openssl版本
[root@localhost tmp]# openssl version
OpenSSL 1.0.2k-fips 26 Jan 2017
#下载新版本
wget https://www.openssl.org/source/openssl-1.1.1u.tar.gz
tar zxvf openssl-1.1.1u.tar.gz
cd openssl-1.1.1u
./config shared --openssldir=/usr/local/openssl-1.1.1q --prefix=/usr/local/openssl
make && make install
移除老版本
mv /usr/bin/openssl /tmp/
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl
查看openssl报错
/usr/bin/openssl version
/usr/bin/openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory
#解决办法
find / -name libssl.so.1.1
ln -s /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
find / -name libcrypto.so.1.1
ln -s /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
[root@localhost openssl-1.1.1u]# openssl version
OpenSSL 1.1.1u 30 May 2023
apache漏洞(CVE-2011-1473)
风险描述
该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renegotiation被用于浏览器到服务器之间的验证。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说,则需要20台电脑和120Kbps的网络连接即可实现。SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。
处理方法
升级新版本,我这里用不到直接卸载
升级同理 先卸载在安装即可
rpm -e httpd
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
