CVE-2011-1473: OpenSSL权限许可和访问控制问题漏洞及解决方案

最新推荐文章于 2024-07-22 13:02:11 发布
最新推荐文章于 2024-07-22 13:02:11 发布
阅读量2.9k 收藏 2
点赞数 4
分类专栏: 服务器安全漏洞扫描 RocketMq 文章标签: java linux rocketmq
王锡豪
本文链接:https://blog.csdn.net/wang121213145/article/details/139684931
版权

CVE-2011-1473: OpenSSL权限许可和访问控制问题漏洞

漏洞详情:

OpensSL.是OpensSL团队的一个于源的能够实现安全套接层(SSL+2/+3) 和安全传输层(TLSw1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。OpenSSL_0.9.81前版本和0.9、8 版本至 x版本中存任权限许可和访问控制问题漏洞。该漏洞源于网絡系统或产品缺乏有效的权限许可和访问控制措施。

解决方案

在漏扫时候测试给出的解决方案是:

一、升级修复方案
官方已发布安全修复版本,建议用户升级至官网最新版本
官网地址:https://www.openssl.org/
二、临时缓解措施
从受影响的 SSL/Ts 服务中完全册除/禁用重新协商功能。例如对于Java程序而言,加入参数:
Djdk. tls. rejectClientInitiatedRenegot
iation-true

漏扫的时候扫出来的问题,但是并不知道是哪个进程的问题,我这边看到问题接口为本机的10911端口,所以查询下这个10991端口是谁在占用。
netstat -tulnp | grep 端口号
然后查看对应PID的进程。发现是本机上安装的RocketMQ的进程。这样问题就变得简单了。
在这里插入图片描述

解决:

找到RocketMq的配置文件,在他的启动脚本中有 runserver.shrunbroker.sh

修改启动脚本

启动脚本中添加 -Djdk.tls.rejectClientInitiatedRenegotiation=true
修改启动脚本 runserver.sh、 runbroker.sh
在这里插入图片描述

然后重启,漏洞解决。

升级了OpenSSL后仍被扫描报存在漏洞解决方案
bigwood99的博客
07-08 4704
安全漏洞修复-cve-2022-0778需要升级到openssl-1.1.1p。 几个CentOS服务器编译安装以后,腾讯云安全扫描依旧提示漏洞存在。
TLS Client-initiated 重协商攻击(CVE-2011-1473)漏洞验证测试
afei001
03-07 7929
目录 1.前言 2.TLS Client-initiated重协商漏洞概述 3.漏洞验证 4.漏洞修复 4.1 缓解措施 4.1 针对各中间件修复建议 1.前言 最近在对网站进行安全漏扫时,使用绿盟RSAS远程评估系统发现了TLSClient-initiated 重协商攻击(CVE-2011-1473)漏洞。最后经过人工验证,发现该漏洞属于误报。这里记录修复过程验证方法。 2.TLS Client-initiated重协商漏洞概述 该漏...
重协商攻击(CVE-2011-1473) 漏洞处理
技术小站
09-02 1万+
重协商攻击(CVE-2011-1473) 漏洞处理
Nginx遇到TLS Client-initiated 重协商攻击(CVE-2011-1473)
qq_24056881的博客
03-01 2101
系统:CentOS Linux 7代理服务器:nginx。
RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
xieqj_0511的博客
06-16 8439
CVE-2011-1473安全漏洞修改,针对rocketmq
CVE-2019-13272 Linux kernel 权限许可访问控制问题漏洞
Sylon的博客
08-02 1622
漏洞简介: Linuxkernel是美国Linux基金会发布的开源操作系统Linux所使用的内核。 Linuxkernel5.1.17之前版本中存在安全漏洞,该漏洞源于kernel/ptrace.c文件的 ptrace_link没有正确处理对凭证的记录。攻击者可利用该漏洞获取root访问权限漏洞公告: 目前厂商暂未发布修复措施解决此安全问题,建议使用此软件的用户随时关注厂商 主页或...
漏洞修复:TLS Client-initiated重协商攻击(CVE-2011-1473
u012785397的博客
05-14 1万+
修复通过jsse实现的ssl/tls不安全的重协商漏洞
CVE-2011-1473 tomcat
weixin_34396103的博客
08-19 3336
Per the bottom of: http://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcat  tweak your server.xml to use Java's own NIO conector (SSL implementation):"The NIO connector is not vulnerabl...
漏洞修复:RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
weixin_54626591的博客
03-26 2614
RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
CVE-2013-4342Xinetd 权限许可访问控制高危漏洞
weixin_33711641的博客
09-13 298
一.OVAL定义检测逻辑:xinetd is earlier than 2:2.3.14-39.el6_4二.解决办法:2.1 升级xinetd 至xinetd-2.3.14-40.el6.i686,到RPM包下载网站下载;2.2 service xinetd status查看漏洞主机状态;停止服务service xinetd stop2.3 卸载rpm -e xinetd...
SSL漏洞处理
逸兴遄飞的专栏
08-15 1万+
openssl相关漏洞处理 网络设备在客户的机房上线,一般都会使用扫描工具进行扫描,以查看是否存在漏洞风险,最近的项目中就出现了如下的风险漏洞。 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】 受诫礼攻击漏洞 临时解...
OpenSSH 代码问题漏洞(CVE-2023-38408)升级到最新版
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
10-16 3635
其中,ssh-agent是一个后台程序,可缓存用于SSH公钥身份验证的私钥,通过跟踪用户的身份密钥密码来简化用户身份验证过程。一旦这些密钥存储在ssh-agent中,它就允许用户访问其他服务器,而无需重新输入密码或密码,从而提供流畅的单点登录(SSO)体验,从而减少常规密码输入的需要。通过Openssh配置(sshd_config)、防火墙,安全组ACL等限制来源访问IP为白名单仅可信IP地址,同时,非必要,关闭SSH代理转发功能,禁止在有关主机启用ssh隧道等。,或升级到9.4p1或9.5p1版本;
Centos7系统安全漏洞及修复方案
sara的博客
04-20 2万+
以下所有漏洞均为Centos7的系统漏洞修复,为离线内网环境;某些服务由Docker镜像部署。 1、Docker Remote API 未授权访问漏洞【原理扫描】 详细描述 Docker是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的LINUX机器上,也可以实现虚拟化。 Docker swarm 是一个将docker集群变成单一虚拟的docker host工具,使用标准的Docker API,能够方便docker集.
阿里云ecs Linux软件漏洞
L_melody的博客
01-21 2806
漏洞名称:CVE-2017-7895 on Ubuntu 14.04 LTS (trusty) 标题: Linux kernel 多个安全限制绕过漏洞(CVE-2017-7895) CVSS分值: 9.8 CVSS: CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 披露时间: 2017-04-28 CVEID: CVE-2017-7895 简...
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473复现验证)
qq_45300786的博客
06-08 1万+
一、使用bash脚本(tls-reneg )可验证 https://github.com/c826/bash-tls-reneg-attack ./tls-reneg.sh host:端口 二、使用openssl可验证 openssl s_client -connect host:端口 三、使用testssl脚本可验证 一、SWEET32(CVE-2016-2183) 使用3DES的任何密码都易受SWEET32影响 命令:./testssl.sh -W 192.168.1.22 二、DROWN(CVE-
ICMP权限许可访问控制漏洞CVE-1999-0524
最新发布
sdwslmf的博客
07-22 1479
ICMP权限许可访问控制漏洞CVE-1999-0524
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录
热门推荐
weixin_48335916的博客
06-24 2万+
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录 根据漏洞扫描反馈的结果,发现存在“服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)”漏洞,端口为443 查看端口443端口对应的PID,并找出对应的服务,最后发现433端口的服务是VM netstat -anp|findstr "443" wmic process get name,executablepath,processid|findstr pid
检测服务器是否开启重协商功能(用于CVE-2011-1473漏洞检测)
weixin_39078334的博客
12-16 4825
背景   由于服务器端的重新密钥协商的开销至少是客户端的10倍,因此攻击者可利用这个过程向服务器发起拒绝服务攻击。OpenSSL 1.0.2及以前版本受影响。 方法   使用OpenSSLlinux系统基本都自带)连接服务器进行测试:     - openssl s_client -connect ip:port     - HEAD / HTTP/1.0     - R 示例   服务器443端口开启重协商,使用openssl s_client -connect 172.31.0.22:44
解决方案】服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)
ak761636411的博客
08-27 1万+
使用SSL开启重协商的服务都会受该漏洞影响 Apache解决办法: 升级到Apache 2.2.15以后版本 IIS解决办法: IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。 Lighttpd解决办法: 建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-ren...
CVE-2016-2183:openSSL
12-29
CVE-2016-2183是一个与OpenSSL库相关的漏洞,也被称为Sweet32漏洞。该漏洞影响使用3DES加密算法的SSL/TLS连接,攻击者可以通过长时间的网络监听来获取加密数据的部分内容。这个漏洞的修复方法是禁用3DES加密算法或使用更安全的加密算法。 以下是一个使用OpenSSL命令行工具检查修复CVE-2183漏洞的示例: 1. 检查是否受到CVE-2016-2183漏洞的影响: ```shell openssl s_client -connect <hostname>:<port> -cipher "DES-CBC3-SHA" ``` 如果输出中包含"Secure Renegotiation IS supported",则表示受到漏洞影响。 2. 禁用3DES加密算法: ```shell openssl ciphers -v 'DEFAULT:!DES-CBC3-SHA' ``` 这将禁用3DES加密算法,提高连接的安全性。 请注意,以上示例中的`<hostname>``<port>`需要替换为实际的主机名端口号。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

似锦_

谢谢金主打赏呀!!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值