(八)netty的SSL renegotiation攻击漏洞

最新推荐文章于 2024-06-26 10:33:06 发布
最新推荐文章于 2024-06-26 10:33:06 发布
阅读量2.4k 收藏 3
点赞数
文章标签: netty java 运维
原文链接:http://www.cnblogs.com/zqyx/p/10256077.html
版权
本文介绍了Netty在启用HTTPS后遇到的TLS Client-initiated 重协商攻击漏洞(CVE-2011-1473)。通过分析源码,提出两种解决方案:禁用JDK SSL的重协商或支持OpenSSL。作者倾向于支持OpenSSL,通过引入netty-tcnative-boringssl-static库成功解决问题。
摘要由CSDN通过智能技术生成

为了满足安全规范,从http改造成https(见(四)启用HTTPS),然而启用https后就可以高枕无忧了吗?绿盟告诉你:当然不,TLS Client-initiated 重协商攻击(CVE-2011-1473)了解一下。

1. 漏洞

报告是这样的:

详细描述    该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renegotiation被用于浏览器到服务器之间的验证。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说,则需要20台电脑和120Kbps的网络连接即可实现。SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。
解决办法    使用SSL开启重协商的服务都会受该漏洞影响.

Apache解决办法:
   升级到Apache 2.2.15以后版本

IIS解决办法:
    IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。

Lighttpd解决办法:
    建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = "enable"。  
    http://download.lighttpd.net/lighttpd/releases-1.4.x/
 
Nginx解决办法:
    0.7.x升级到nginx 0.7.64 
    0.8.x升级到 0.8.23 以及更高版本。
    http://nginx.org/en/download.html

Tomcat解决办法:
 1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配置:
<Connector protocol="org.apache.coyote.http11.Http11NioProtocol">
(可能会影响Tomcat性能);
 2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。
    参考链接:
    https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
    https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html
    http://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcat
    https://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison

Squid解决办法:
    升级到3.5.24以及以后版本
    http://www.squid-cache.org/Versions/

其它服务解决方案请联系各应用厂商确认关闭重协商的方法。

然而我的http server用的是netty(netty既支持jdk ssl,也支持open ssl,open ssl的安全性和性能都比jdk ssl来的高,可以参考博文)。

解决方案中并无想要的信息,仅有一个用nginx增加反向代理,这种方式并无法让我感到满意,网上搜了一堆信息,但并没有找到想要的答案,因此只能从源码找起了。

2. 找http server

方式是直接从启动入口,通过find usages往上找。

@Override
    public void start() throws WebServerException {
        if (this.nettyContext == null) {
            try {
                this.nettyContext = startHttpServer();
            }
            catch (Exception ex) {
                if (findBindException(ex) != null) {
                    SocketAddress address = this.httpServer.options().getAddress();
                    if (address instanceof InetSocketAddress) {
                        throw new PortInUseException(
                                ((InetSocketAddress) address).getPort());
                    }
                }
                throw new WebServerException("Unable to start Netty", ex);
            }
            NettyWebServer.logger.info("Netty started on port(s): " + getPort());
            startDaemonAwaitThread(this.nettyContext);
        }
    }
NettyWebServer 
@Override
    public WebServer getWebServer(HttpHandler httpHandler) {
        HttpServer httpServer = createHttpServer();
        ReactorHttpHandlerAdapter handlerAdapter = new ReactorHttpHandlerAdapter(
                httpHandler);
        return new NettyWebServer(httpServer, handlerAdapter, this.lifecycleTimeout);
    }
NettyReactiveWebServerFactory 
private HttpServer createHttpServer() {
        return HttpServer.builder().options((options) -> {
            options.listenAddress(getListenAddress());
            if (getSsl() != null && getSsl().isEnabled()) {
                SslServerCustomizer sslServerCustomizer = new
最低0.47元/天 解锁文章
weixin_33782386
关注
Netty使用SSL实现双向通信加密
我是香菜
01-03 1379
最近项目有个需求,TCP服务器实现基于证书通信加密,之前没做过,花了一些时间调研,今天整理下。
TLS & SSLv3 renegotiation
03-10
ssl漏洞This paper explains the vulnerability for a broader audience and summarizes the information that is currently available. The document is prone to updates and is believed to be accurate by the time of writing
Nginx遇到TLS Client-initiated 重协商攻击(CVE-2011-1473)
qq_24056881的博客
03-01 1392
系统:CentOS Linux 7代理服务器:nginx。
博客摘录「 绿盟漏洞 :服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】」2024年6月26日
最新发布
l540002038的博客
06-26 899
第一步:按下' Win + R',进入"运行",键入" gpedit.msc",打开"本地组策略编辑器"。第三步:在"SSL密码套件顺序"选项上,右键"编辑"->在"SSL密码套件顺序"选在"已启用(E)"。3、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】2、SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】第二步:打开计算机配置->管理模板->网络->SSL配置设置。点击"应用"、"确定",并重启系统实现修复。
Testing for SSL renegotiation
weixin_33966095的博客
08-19 195
https://blog.ivanristic.com/2009/12/testing-for-ssl-renegotiation.html
SSL renegotiation攻击详解
Xizhi Zhu的博客
11-07 1万+
英文不错的朋友可以参看我英文博客上的原文。该攻击利用了SSL协议renegotiation漏洞,允许攻击者以中间人攻击的方式在通信的起始部分插入任意的选择明文。以下假设你对SSL/TLS的工作方式,尤其是renegotiation比较熟悉,并且对HTTP有基本的了解。第一个场景:当要求客户证书时在理想情况下,服务器会在第一次和客户握手时要求其提供证书。但在现实中,出于种种原因
Oracle ssl java,Disabling SSL Renegotiation in Java
weixin_29196613的博客
04-05 147
Here is the part of ssl debug from server side:Thread-1, READ: TLSv1 Handshake, length = 128Allow unsafe renegotiation: falseAllow legacy hello messages: falseIs initial handshake: falseIs secure rene...
netty实现SSL/TSL双向加密认证示例
09-21
在本文中,我们将深入探讨如何使用 Netty 实现 SSL/TLS(Secure Sockets Layer/Transport Layer Security)双向加密认证。SSL/TLS 是互联网上广泛采用的安全通信协议,确保数据在网络传输过程中保持私密性和完整性。...
基于springboot的NettySSL加密PKI认证通信
04-01
采用springboot的基于NettySSL加密PKI认证通信,里面模拟了Netty的客户端和服务端的证书认证规则,同时分为单向认证和双向认证,信任证书链并对RA颁发的证书来进行验签,实现了双向和单向加密通信,保障了数据的...
netty搭建tcp自定义协议websocket服务器, 支持ssl demo
05-24
netty搭建tcp自定义协议websocket服务器, 支持ssl demo. 适用于netty初学者, netty搭建自定义协议, websocket服务器, 聊天室, 一个端口集成多协议,包括ssl协议
ssl漏洞检查
05-24
SSL漏洞 使用工具testssl.sh 服务 ssl 测试单个主机上的所有内容并输出到控制台 ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST 测试单个主机上的所有内容并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U TARGET-HOST | aha> OUTPUT-FILE.html 测试子网上的所有主机并输出到HTML ./testssl.sh -e -E -f -p -y -Y -S -P -c -H -U 192.168.1.0/24 | aha> OUTPUT-FILE.html 与上述相同,但只列举每个服务器支持的密码类型: ./testssl.sh -E 192.168.1.0/24 | aha> OUTPUT-FILE.html Ssl证书过期 查看证书过期时间 SWEET32(CVE-2016-2183) ./testssl.sh --ciphers TARGET DROWN(CVE-2016-0800) ./testssl.sh -D TARGET FREAK(CVE-2015-0204) ./testssl -F TARGET Logjam(CVE-2015-4000) ./testssl.sh -J TARGET Heartbleed(CVE-2014-0160) ./testssl.sh -B 10.0.1.159 POODLE SSLv3(CVE-2014-3566) ./testssl.sh -O 10.0.1.159 CCS注入漏洞(CVE-2014-0224) ./testssl.sh -I TARGET POODLE TLS(CVE-2014-8730) ./testssl.sh -O 10.0.1.159 BREACH(CVE-2013-3587) ./testssl.sh -T TARGET RC4 CVE-2013-2566 ./testssl.sh -E TARGET Renegotiation(CVE-2009-3555) ./testssl.sh -R 10.0.1.159
tls 禁用重协商_SSL/TLS高危不安全重新协商漏洞
weixin_29999895的博客
12-24 2643
关于网站或者应用当中的SSL/TLS协议所存在的不安全漏洞,相应的发布了一篇不安全重新协商漏洞的内容。小凯seo博客将这篇内容转载过来和朋友们分享一下,题目是《SSL/TLS高危不安全重新协商漏洞》,正文部分如下:发布时间:2009年8月漏洞等级:高危漏洞原理:重新协商的漏洞在于新旧TLS连接之间没有连续性,即使这两个连接发生在同一个TCP连接上。也就是说,服务器并不会验证新旧两条TLS连接的另外...
linux ssl关闭重协商服务,openssl重协商失败
weixin_39922361的博客
05-09 1673
1.使用openssl在tcp上建立加密通道2.在7秒到14秒之间,随时有可能进行重新协商3.协商过程中,C/S端不停止调用SSL_read和SSL_write通过代码可以看出:1.SSL_read/write首先检查是否需要重协商2.需要重协商的情况下,检查业务读写缓冲区中是否数据,有数据等待处理完3.业务读写缓冲区没有数据的情况下,设置RENEGOTIATE标志,从这个点开始SSL_in_in...
SSL renegotiation攻击已成现实
Xizhi Zhu的博客
11-17 5667
原文参见我的英文博客:http://xizhizhu.blogspot.com/2009/11/ssl-renegotiation-vulnerability.html 本月初刚刚发现的SSL renegotiation漏洞已经被很快的利用。一名名为Anil Kurmus的土耳其学生,近日展示如何利用该漏洞盗取Twitter帐号(改漏洞现已被Twitter修复),并提供了相关代
OpenSSL-TLS重协商
热门推荐
Remy的学习记录
09-08 2万+
一、什么是重协商     大部分TLS连接都以handshake为开始,经过应用数据的交换,最后关闭会话。如果在第一次handshake之后(可能经历了应用数据的交换也可能没有)请求重新协商,就会发起一次新的handshake,对新的安全参数达成一致。重协商的handshake的消息都是全部加密的,这与第一次handshake明显不同。     重协商功能应用场景举例: *) Client证
ssl renegotiation disable如何关闭_《如何防止违法私接,确保内网安全》
weixin_39562606的博客
12-01 3074
相信大多数网工都比较头疼一个事儿,就是在公司的时候,总有的同事喜欢弄台家用无线路由器(无线AP)连接到公司网络中,当它把这台设备的ip地址设置为网关地址的时候,又不关闭DHCP功能,就可能导致其他的终端设备上不了网,那么我们就要来想一下如何防止它私接呢?接下来为大家介绍一个在交换机上使用的技术----端口安全,拓扑如下:首先第一步给终端设备配置ip地址,且交换机接口e0/0--e0/1模式为acc...
ssl renegotiation disable如何关闭_如何让交易数据更安全?Oceanpayment/钱海告诉你
weixin_39613208的博客
12-08 1175
在互联网时代,如何保障网络数据安全一直是一个备受关注的话题,对于从事互联网在线零售的企业来说,如何保障消费者的信息安全更是显得十分重要。当消费者在网站上进行购物时,往往需要向网站提交一些敏感的个人信息,如身份信息、信用卡号等。如何保证这个信息的传递过程是安全的呢?网站(服务器)与消费者(客户端)之间是如何建立安全的连接呢?这些都离不开网络数据传输加密协议: SSL和TLS。什么是SSL和TLS? ...
netty ssl/tls加密
08-23
Netty是一款高性能的网络应用框架,支持SSL/TLS加密来保护网络通信的安全性。SSL(Secure Sockets Layer)和TLS(Transport Layer Security)是网络通信中广泛使用的加密协议,用于在客户端和服务器之间建立安全的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值