【漏洞修复】--OpenSSL Security Advisory [22 Sep 2016]

已于 2023-07-31 16:48:41 修改
阅读量1.2k 收藏 1
点赞数
分类专栏: 经验分享 文章标签: docker kubernetes nginx ssl 阿里云
于 2023-07-31 16:46:03 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012429202/article/details/132025622
版权

说明

此文章主要记录OpenSSL Security Advisory [22 Sep 2016]漏洞的修复方法。

漏洞信息

官方漏洞报告信息:

1、OpenSSL Security Advisory [22 Sep 2016]

链接:https://www.openssl.org/news/secadv/20160922.txt

请在下列网页下载最新版本:

/source/index.html

2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法

主要是修改conf文件

3、Windows系统可以参考如下链接:

SSL Medium Strength Cipher Suites Supported (SWEET32)-CVE-2016-2183

建议:避免使用IDEA、DES和3DES算法

解决办法

1、容器环境

升级nginx容器镜像到1.20.0版本以上即可,因为1.20.0版本的openssl版本已经满足1.1.1k

2、主机环境

升级主机环境的openssl版本到1.1.1k即可

解决过程

1、容器环境

说明:

我的网站的跑在K8S环境中,服务nginx版本为1.19.0,暴露80端口,通过ingress统一开放。

第一步--替换dockerfile中容器基础镜像版本
# 我直接升级到1.22.0
FROM llody/nginx:v1.22.0
第二步--重新发布版本并验证openssl版本
docker exec -it 容器名称 sh

# 执行
nginx -V

第三步--禁用掉指定算法

# 在服务的ingress配置项添加如下注解
apiVersion: networking.k8s.io/v1
kind: Ingress
metadata:
  name: nginx-ingress
  annotations:
    nginx.ingress.kubernetes.io/configuration-snippet: |
      ssl_ciphers '!DES:!IDEA:!3DES';
spec:
  ...

# 或者使用官方给的加密套件
nginx.ingress.kubernetes.io/ssl-ciphers: "ALL:!aNULL:!EXPORT56:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP"

第四步--验证方法

根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在

2、主机环境

第一步--升级当前的openssl版本
#github地址
wget https://github.com/openssl/openssl/releases/download/OpenSSL_1_1_1t/openssl-1.1.1t.tar.gz
#官网地址
wget https://www.openssl.org/source/openssl-1.1.1t.tar.gz
# 解压
tar -zxvf openssl-1.1.1t.tar.gz
# 进入到解压后的目录下
cd openssl-1.1.1t
# 配置并指定安装路径
./config --prefix=/usr --openssldir=/etc/ssl --libdir=lib no-shared zlib-dynamic
# 在build之前做make depend(通过这种安装方式,openssl和openssl-devel都将会被安装)
make depend
# 编译并安装
make && make install 

# 配置环境变量
export LD_LIBRARY_PATH=/usr/local/lib:/usr/local/lib64
echo "export LD_LIBRARY_PATH=/usr/local/lib:/usr/local/lib64" >> ~/.bashrc
第二步--确认升级版本即可
# 再次查看版本,确认是否安装成功
openssl version
第三步--修改服务.conf文件,禁用指定算法
# 全局配置
worker_processes auto;
error_log /var/log/nginx/error.log;

events {
  worker_connections 1024;
}

http {
  # HTTP配置

  # 使用https的监听端口
  server {
    listen 443 ssl;
    server_name example.com;

    ssl_certificate /path/to/ssl_certificate.crt;
    ssl_certificate_key /path/to/private_key.key;

    # 启用TLS协议版本定义
    ssl_protocols TLSv1.2 TLSv1.3;

    # 禁用DES算法的密码套件
    ssl_ciphers '!DES:!IDEA:!3DES';

    location / {
      root /path/to/root;
      index index.html;
    }
  }

  # HTTP重定向到HTTPS
  server {
    listen 80;
    server_name example.com;
    return 301 https://$host$request_uri;
  }
}
Linux漏洞SSL/TLS协议信息泄露漏洞(CVE-2016-2183) - 非常危险(7.5分) 解决办法!升级openssl
qq_41867674的博客
05-28 2297
查看openssl版本 openssl version -a会显示全面详细信息。3、配置openssl安装目录。2、解压openssl。6、添加动态链接库数据。8、验证openssl
openssl漏洞检查修复
thinker
09-14 3578
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。链接:https://www.openssl.org/news/secadv/20160922.txt。链接:https://www.openssl.org/news/secadv/20160922.txt。重点:避免使用IDEA、DES和3DES算法。主要是修改conf文件。
OpenSSL安全公告高危漏洞 可以对默认配置的服务器发动DDoS攻击
weixin_33766168的博客
09-01 1748
OpenSSL项目组在今天发布高威胁安全通告CVE-2016-6304,更新内容包括:修复了自2016年5月以来的安全漏洞,其中包括一个高危漏洞,一个为“中危”,其余均评级为“低危”。OpenSSL安全公告 [22 Sep 2016]公告如下: OCSP状态请求扩展跨内存边界增长(CVE-2016-6304) 安全等级: 高危 恶意的客户端可以发送过大的...
openssh、openssl版本升级
最新发布
m0_71079519的博客
08-23 1328
配置安装目录,--with-ssl-dir需要指定实际的openssl的目录。官网地址:https://www.openssl.org/source/如因网络原因下载不动,可以直接访问 ,下载最新版本。#解压下载的openssh压缩包。
Windows Server 服务器漏洞OpenSSL 信息泄露漏洞(CVE-2016-2183)和 OpenSSL弱加密算法
热门推荐
小菜鸟的博客
09-29 1万+
Windows Server 服务器漏洞OpenSSL 信息泄露漏洞(CVE-2016-2183)和 OpenSSL弱加密算法 系统版本:windows server 2008 、iis7.0
OpenSSL 升级
mengruobaobao的博客
11-19 1331
OpenSSL Project已经为此发布了一个安全公告(20160922)以及相应补丁: 20160922OpenSSL Security Advisory [22 Sep 2016]链接:https://www.openssl.org/news/secadv/20160922.txt请在下列网页下载最新版本: https://www.openssl.org/source/ 下载补丁还不如升级版本 查看本机版本 openssl version 升级步骤: 1、去官网下载最新版本,或wget下.
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)/SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)/SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-20
weixin_47277340的博客
02-04 9283
本人这几个漏洞都指向ssl,服务器为win2012 r2 standard 一、漏洞说明 Windows server 2012R2远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。远程主机支持的SSL加密算法提供了中等强度的加密算法,目前,使用密钥长度大于等于56bits并且小于112bits的算法都被认为是中等强度的加密算法。以下为漏洞截图: 按照漏扫工具给出的修复建议为:避免使用DES算
漏洞修复】 CVE Linux 系统应用漏洞修复笔记
张小三的博客
02-07 8022
根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在。启动完成后查看nginx的版本信息,验证nginxopenssl版本号是否已经升级成功。原本我的nginx中使用的openssl 版本号为:1.0.2s。结束后在此查询openssl的版本号,验证是否升级成功。目录,使用以下命令下载最新版的安装包到此目录下。将以下的内容替换 nginx 的443配置中的。进入nginx的安装目录下的。目录下启动nginx
如何通过SEPM的数据库查询到网络和主机漏洞缓解的攻击日志
Paul's Cybersecurity Blog
06-19 557
通过SEPM控制台可以查询到网络和主机漏洞缓解(Network and Host Exploit Mitigation)的攻击日志(Attack Logs)设置如下: 但是直接在SEPM的数据库 SQL Server查询相应的 网络和主机漏洞缓解的攻击日志的SQL语句是怎么样的? 具体语句如下: select TOP 20 ASLUNION.AGENT_SECURITY_LOG_IDX, ASLUNION.LOCATION_NAME, ASLUNION.TRAFFIC_DIREC..
OpenSSL 信息泄露漏洞(CVE-2016-2183)&& 目标主机使用了不受支持的SSL加密算法
qq_44929154的博客
07-29 2779
编辑Nginx配置文件:使用文本编辑器打开Nginx的配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/conf.d/目录下的某个文件)。修改ssl_ciphers指令:在server块中找到ssl_ciphers指令,并移除包含“3DES”的密码套件。
openSSL DES算法(ecb,cbc....)
07-18
openSSL DES ecb padding
CVE-2016-2183漏洞修复
weixin_50712581的博客
07-13 1834
漏洞是由于 OpenSSL 中 DH 密钥交换算法的一个错误实现导致的,攻击者可以利用此漏洞对传输的加密流量进行中间人攻击,从而窃取加密通信内容。在该版本中,OpenSSL 官方对 DH 密钥交换算法实现进行了修复修复了 CVE-2016-2183 漏洞,并添加了一些其他的安全补丁和功能改进。如果您使用的是 OpenSSL 1.0.2d 到 1.0.2h 版本之间的任何版本,则可能会受到 CVE-2016-2183 漏洞的影响。这是由于openssl库的位置不正确造成的。
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
Cookie_1030的专栏
07-05 9192
nginx禁用3DES和DES弱加密算法,保证SSL证书安全
一份关于windows server服务器的安全漏洞处理建议(来自绿盟安全评估)
分享型博主
07-26 7687
文章来自一份绿盟安全评估中的服务器漏洞扫描分析结果,据市场研究公司Gartner研究报告称“实施漏洞管理的企业会避免近90%的攻击”。可以看出,及时的漏洞修补可以在一定程度上防止病毒、攻击者的威胁。这个报告是合作单位的服务器安全评估出来的,帮忙协助处理下,希望对看到的小伙伴有所帮助,有问题咱们一起讨论实践哦。
常见的安全扫描漏洞的工具、漏洞分类及处理
qq_41831448的博客
06-06 9455
1.1. Unix/Linux漏洞 升级相应产商的系统版本或查找对应漏洞的补丁文件1.2. OpenSSH漏洞 OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH 命令注入漏洞(CVE-2020-15778) OpenSSH 安全漏洞(CVE-2021-28041) 修复建议: 一般也是升级相应的OpenSSH版本1.3Nginx漏洞 1.3.1导致拒绝服务漏洞 HTTP/2是超文本传输协议的第二版,主要用于保证客户机与服务器之间的通信。HTTP/2中存在资源管理错误漏洞。攻击
nginx禁用3DES和DES弱加密算法
来瓶小白干Oo的博客
08-13 4620
最近护网行动,收到漏洞报告,需要配置nginx,禁用3DES和DES弱加密算法。
linux 上SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
冰恋云的专栏
05-21 8693
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
Openssl多个安全补丁简易分析危害及修复方案
收集盒 Book box
06-18 1803
0x00 概述 心脏出血(CVE-2014-0160)后,Openssl 拿出专项资金进行了代码审计,于6月5号晚发布了所发现的漏洞公告。 https://www.openssl.org/news/secadv_20140605.txt 总结如图: 两个高危漏洞 2014-0224中间人攻击(截获明文) 和2014-0195(DTLS 特定包代码执行) 3个拒绝服务 1个缓存区
2016-10-19 新的开始
公众号
10-20 387
先简单介绍下自己,我是一个Android工程师,目前主力开发Android。开这个公众号主要是想分享记录些自己编程、读书的东西,一方面可以记录自己的成长过程,另一方面也想要学习编程之外更多的东西,比如如何运营一个公众号这种工作以外的东西。通过这样一个平台可以让自己多方面得到成长,何乐而不为呢。        不过很多东西说起来容易,其实真正做很困难,公众号申请也快大半年了,但是基本没写过东西,只是
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

llody_55

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值