Tomcat6/7应用服务器-禁用RC4等弱密码套件

最新推荐文章于 2024-08-28 11:10:59 发布
最新推荐文章于 2024-08-28 11:10:59 发布
阅读量2.5k 收藏 2
点赞数
文章标签: java python php
原文链接:https://my.oschina.net/langxSpirit/blog/819936
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

最近更新了新版浏览器的同学是不是偶尔会遇到SSL加密协议不灵,访问不了的情况?
最典型的例子是使用FF39+访问某些网站时报错:Error code: ssl_error_weak_server_ephemeral_dh_key

或者使用IBMAppScan扫描会出现类似“检测到 RC4 密码套件”的中危漏洞。(注意不同版本的AppScan检测机制可能不同)

 
加固方法:
1、首先你要确保你的密钥(证书)加密长度>1023bit,因为<1023bit FF会认为不安全。自签名证书的,自己去看看怎么把key size设置为1024或大于1024。如果是CA机构签名的,就需要去CA机构申请重新签名更换证书。

2、服务器SSL设置中,要disable DHE cipher suites,要disable TLSv2 TLSv3,启用TLSv1,TLSv1.1,TLSv1.2。

3、密码套件根据Tomcat应用服务器和jdk使用。(修改conf\server.xml文件配置)
3.1)如:Tomcat 6或7 + jdk6 的密码套件配置示例:

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 sslEnabledpotocols="TLSv1,TLSv1.1,TLSv1.2"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" keystoreFile="D:\backup\myssl.jks" keystorePass="myPassword"  
               sslProtocol="TLS"      ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA"
            />

关键节点:sslEnabledpotocols、 sslProtocol

3.2)如:Tomcat 7+ jdk7 的密码套件配置示例:
请参考:https://support.comodo.com/index.php?/Knowledgebase/Article/View/659

<Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
                 sslEnabledpotocols="TLSv1,TLSv1.1,TLSv1.2"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="false" keystoreFile="D:\backup\myssl.jks" keystorePass="myPassword"  
               sslProtocol="TLS"                         ciphers="TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA384,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDH_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_DSS_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDH_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDH_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_ECDSA_WITH_RC4_128_SHA,TLS_ECDH_RSA_WITH_RC4_128_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_DSS_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDH_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_DSS_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_ECDSA_WITH_3DES_EDE_CBC_SHA,TLS_ECDH_RSA_WITH_3DES_EDE_CBC_SHA,TLS_EMPTY_RENEGOTIATION_INFO_SCSVF"
            />

 

 

 

转载于:https://my.oschina.net/langxSpirit/blog/819936

weixin_33709219
关注
rc4加密问题漏洞修复_对主机漏洞-RC4密码套件的深度剖析(CVE-2015-2808)
weixin_36272622的博客
12-24 3794
## 事情起因去年九月份那会一直再刷某个SRC的漏洞,由于自己比较懒,所以经常会使用扫描器进行扫描结果wvs发现了这个漏洞[![](https://www.heavensec.org/usr/uploads/2019/01/2867361218.png)](https://www.heavensec.org/usr/uploads/2019/01/2867361218.png)当时想着有一个洞算一...
服务器系统漏洞rc4,服务器如何修复旧加密算法漏洞
weixin_39739661的博客
08-06 3578
大周末的,收到客户发来的《网络安全隐患告知书》,里面有个主机扫描报告,有个中危漏洞需要修复,客户修复不了,找过来,漏洞如下:其实这个漏洞很常见,最近接触的客户发来的要求修复的漏洞中,都存在这个问题,所以今天记录下这个RC4的漏洞是个老的漏洞了,是加密算法的问题,只要是在使用RC4加密算法的旧的系统中,都存在这个问题,比如常见的web,Nginx、Apache、IIS、Tomcat等,以及linux...
tomcat禁用RC4的方法
12-14
禁用RC4(SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】) 编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,修改如下: 复制代码
【案例63】SSL RC4 加密套件支持检测 (Bar Mitzvah)修复方案
最新发布
Z.Virgil的博客
08-28 877
找到SSL 密码组配置,Apache 中为:SSLCipherSuite、Nginx 中为:ssl_ciphers。找到ssl 配置文件 > 禁用RC4 密码组 > 重启服务 > 检查是否禁用成功 > 完成。如果可能,请重新配置受影响的应用程序以避免使用 RC4 密码RC4 密码在伪随机字节流的生成中存在缺陷,导致引入了各种各样的小偏差,降低了其随机。攻击者可利用大量的密文推测明文,导致远程主机信息泄露。RC4,如果不存在,新增即可。如果配置中存在:RC4 密码组,如图。该攻击者可能会推测出明文。
Windows 系统禁用 RC4 密码套件 windows
butterfly2017的博客
10-11 3787
RC4 密码套件存在漏洞,SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808),通过“受戒礼”攻击,攻击者可以在特定环境下只通过嗅探监听就可以还原采用 RC4 保护的加密信息中的纯文本,导致账户、密码、信用卡信息等重要敏感信息暴露,并且可以通过中间人(Man-in-the-middle)进行会话劫持。RC4 现在已经是被强制丢弃的算法。 Powershell 中执行此命令 (以系统管理员身份) It was originally written for Micro..
服务器端禁止使用RC4加密算法。SSLv3存在严重设计缺陷漏洞
热门推荐
iiiiiiiiiiii9的专栏
07-13 3万+
http://www.heminjie.com/network/2132.htmlIIS:请参考:http://support2.microsoft.com/kb/187498/en-us  或:http://support2.microsoft.com/kb/187498/zh-cn进行手工修复,或者使用fix it向导进行修复。 修改完后,Linux重启Web服务即可,Windwos需要重新启...
rc4加密问题漏洞修复_服务器SSL不安全漏洞修复方案
weixin_29383401的博客
01-14 2117
关于SSL POODLE漏洞POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,sessi...
rc4加密问题漏洞修复_「ssl漏洞」网站SSL安全漏洞修复指南
weixin_32022555的博客
12-24 2264
前段时间对公司的网站进行了一下扫描,使用的是awvs扫描器,发现了几处SSL方面的安全漏洞,网上找了一些修复的建议,分享给大家,如果你也遇到和我一样的问题,可以用此修复。Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export ci...
apache-tomcat
08-18
4. **更好的安全管理**:加强了安全配置,例如,默认情况下会禁用不安全的HTTP方法,增加了对TLS/SSL的改进,支持更多的加密套件和更强的密码算法。 5. **性能优化**:通过改进线程池管理、内存分配和垃圾回收策略...
windows服务器系统漏洞的处理
wyqwilliam的博客
09-02 1693
原处理方式 受影响主机 10.206.211.25;点击查看详情; 详细描述 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 解决办法 临时解决方法: SSL/TLS -------- 1、禁止apache服务器使用RC4加密算法 vi /etc/httpd/conf.d/ssl..
Tomcat控制台密码漏洞
Kevin's Blog
07-23 4987
文章目录一、漏洞介绍1.1 漏洞原理1.2 影响版本1.3 触发条件二、环境搭建2.1 环境信息2.2 tomcat配置2.3 配置漏洞环境三、攻击过程四、漏洞修复 一、漏洞介绍 1.1 漏洞原理   Tomcat支持后台部署War文件,默认情况下管理页面仅允许本地访问,如果网站运维/开发人员手动修改配置文件中的信息允许远程IP进行访问(需求),且恶意攻击者拿到管理界面账户密码情况下,则可上传木马文件,控制系统。 1.2 影响版本 全版本 1.3 触发条件 默认配置文件已被修改,允许非本地访问 攻击者
【漏洞】SSL RC4 加密套件支持检测 (Bar Mitzvah)【原理扫描】
spring_is_coming的博客
05-26 7539
【漏洞】SSL RC4 加密套件支持检测 (Bar Mitzvah)【原理扫描】
RC4密码套件检测
weixin_30571465的博客
12-01 2719
一、漏洞分析 事件起因 2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性密钥(《Weakness in the Key Scheduling Algorithm of RC4》,FMS发表于2001年...
RC4密码
river
12-28 1149
//程序开始 #include<stdio.h> #include<string.h> #include<Windows.h>typedef unsigned longULONG;/*初始化函数*/ void rc4_init(unsigned char*s, unsigned char*key, unsigned long Len) { int i = 0, j = 0; char
加密解密(RC4)
比起日出,我更喜欢日落。我的意思是比起遇见你,我更喜欢与你终老
08-29 1795
RC4算法的原理是通过将一个密钥和一个初始化向量经过KSA(Key Scheduling Algorithm)(密钥调度算法)生成一个长度为256个字节的密钥流,然后将明文与密钥流逐字节异或,得到密文。RC4算法在一些安全性方面存在一些问题,因此在实际应用中,建议使用更加安全的加密算法,如AES算法。互联网通信:RC4算法可以用于保护互联网通信的安全性,例如SSL/TLS协议中的RC4加密套件。数据加密:RC4算法可以用于对数据进行加密,例如文件加密、数据库加密等。
TLS重协商漏洞和RC4加密安全套件漏洞
Entity_G的博客
10-08 938
TLS重协商漏洞和RC4加密安全套件漏洞 禁用TLS1.0 setDomainEnv.sh 找到"JAVA_OPTIONS="处 weblogic10.3.6及以后版本: -Djava.net.preferIPv4Stack=true -Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.0 以前版本: -Dweblogic.security.SSL.protocolVersion=TLS1 注意:TLS1.2只有JDK8才默认支持,JDK7需要修改代
RC4加密原理及其密钥推导
n1ptune__的博客
09-01 3438
RC4简介 rc4加密由Ron Rivest 于1987年为RSA Security公司设计,是一种可变密钥长度,面向字节的流密码 ,广泛应用于 web SSL/TLS, wireless WEP/WPA等 1.RC4算法原理 用一个长度为1到256个字节(8~2048位)的可变长度密钥来初始化一个256个字节的状态向量S,S的元素记为S[0],S[1],…S[255],从始至终S包含所有从0到255的数字 a.RC4密钥调度 首先初始化状态向量S[i],同时由可变密钥K生成中间向量T /* 初始
Tomcat禁用RC4以增强SSL/TLS安全
本文主要介绍了如何在Tomcat服务器上禁用RC4加密算法,以防止SSL/TLS受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)。此外,还提到了SSLv3.0的POODLE攻击漏洞(CVE-2014-3566)及其防范措施。 在网络安全领域,RC4是一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值