OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)【原理扫描】

最新推荐文章于 2021-12-18 19:16:50 发布
最新推荐文章于 2021-12-18 19:16:50 发布
阅读量6.8k 收藏 8
点赞数
分类专栏: Java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wt461290528/article/details/104607756
版权

本文用于解决问题:  OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)【原理扫描】。

需升级 OpenSSL、nginx 静态源码包 解决。

 

1、相关下载地址:

    //openssl官方下载地址
    https://www.openssl.org/source/

    //nginx下载地址
    http://nginx.org/en/download.html


2、附参考文本档:

    //修订方案
    https://blog.51cto.com/zhanjun/2097178
    
    //重新编译Nginx指导手册【修复静态编译Openssl的Nginx漏洞 】[Openssl Heartbleed]
    https://blog.csdn.net/hujkay/article/details/23476557


3、 本文分为3部分,OpenSSL安装、nginx安装、可能遇到问题。


一、OpenSSL安装

    通常出现的OpenSSL的漏洞需要升级版本解决。

1、查看openssl版本
   openssl version

2、下载openssl源码包,以 openssl-1.1.1d.tar.gz为例
    https://www.openssl.org/source/

    1)解压

tar  zxf   openssl-1.1.1d.tar.gz

    2)编译

./config  --prefix=/usr/local/openssl-1.1.1d/ssl
make  && make install

    3)将新编译的openssl替换系统老版本

mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak
ln -s /usr/local/openssl-1.1.1d/ssl/bin/openssl   /usr/bin/openssl
ln -s /usr/local/openssl-1.1.1d/ssl/include/openssl   /usr/include/openssl

    4)配置文件搜索路径

echo "/usr/local/ssl/lib/" >> /etc/ld.so.conf  
ldconfig -v |grep openssl

    5)查看安装完成后的最新版本

openssl version
openssl version -a

 


二、nginx安装

    先将原nginx 备份,目录为 /usr/local/nginx。

1、查看系统 nginx是否为静态编译;

nginx -V

  如果编译参数中含有--with-openssl=...,则表明Nginx是静态编译Openssl,如下所示:
   

nginx version: EWS/CIS
built by gcc 4.4.7 20120313 (Red Hat 4.4.7-4) (GCC)
built with OpenSSL 1.0.1t  3 May 2016
TLS SNI support enabled
configure arguments: --prefix=/usr/local/nginx --http-log-path=/usr/local/nginx/log/access.log --error-log-path=/usr/local/nginx/log/error.log --pid-path=/usr/local/nginx/pid/nginx.pid --lock-path=/usr/local/nginx/lock/nginx.lock --with-http_ssl_module --with-http_stub_status_module --with-pcre=/home/tools/php-tools/pcre-8.37 --without-http-cache --with-http_gzip_static_module --with-threads --with-openssl=/home/tools/openssh-tools/openssl-1.0.1t

    注:注意保存configure arguments,重新编译时使用;

2、下载nginx源码包,以 nginx-1.17.8 为例;
    http://nginx.org/en/download.html
   
    1)解压安装nginx新版安装包

tar -zxvf nginx-1.17.8.tar.gz

mv nginx-1.17.8 /usr/local/nginx-1.17.8

cd /usr/local/nginx-1.17.8

    2)执行配置
 

./configure --prefix=/usr/local/nginx --http-log-path=/usr/local/nginx/log/access.log --error-log-path=/usr/local/nginx/log/error.log --pid-path=/usr/local/nginx/pid/nginx.pid --lock-path=/usr/local/nginx/lock/nginx.lock --with-http_ssl_module --with-http_stub_status_module --with-pcre --without-http-cache --with-http_gzip_static_module --with-threads --with-openssl=/usr/local/openssl-1.1.1d/ssl

  需注意:
    ①    --with-pcre=/home/tools/php-tools/pcre-8.37 改为  --with-pcre
    ②   --with-openssl=/usr/local/openssl-1.1.1d/ssl
        --with-openssl配置最新的 openssl地址;
    ③   --prefix=/usr/local/nginx 安装到/usr/local/nginx的nginx目录下
    
    3)编译
    

make
make install

 

三、可能遇到问题 

 1、下载openssl源码编译安装后运行

    openssl version 提示:

    /usr/local/openssl/bin/openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory

    这是由于openssl库的位置不正确造成的。

    可以做一个软连接。假如你的libssl.so.1.1 文件在/usr/local/openssl/lib/下面,可以这样做  

ln -s /usr/local/openssl/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1

ln -s /usr/local/openssl/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1

    这时openssl version

[root@macco-file lib64]# openssl version
OpenSSL 1.1.1d  10 Sep 2019

    #如果要删除软连接,直接删掉就好

rm /usr/lib64/libcrypto.so.1.1

 

2、make nginx 出错

   如下所示

/bin/sh: line 2: ./config: No such file or directory
make[1]: *** [/usr/local/ssl/.openssl/include/openssl/ssl.h] Error 127
make[1]: Leaving directory `/usr/local/src/nginx-1.9.9'
make: *** [build] Error 2

   解决方法:

    打开nginx源文件下的/usr/local/nginx-1.17.8/auto/lib/openssl/conf文件【去掉 .openssl】:
    找到这么一段代码:

CORE_INCS="$CORE_INCS $OPENSSL/.openssl/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/.openssl/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/.openssl/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"

 修改成以下代码:

CORE_INCS="$CORE_INCS $OPENSSL/include"
CORE_DEPS="$CORE_DEPS $OPENSSL/include/openssl/ssl.h"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libssl.a"
CORE_LIBS="$CORE_LIBS $OPENSSL/lib/libcrypto.a"
CORE_LIBS="$CORE_LIBS $NGX_LIBDL"

 然后再进行Nginx的编译安装即可


3、nginx 重启失败

/usr/local/nginx/sbin/nginx -c /usr/local/nginx/conf/nginx.conf
nginx: [warn] the "ssl" directive is deprecated, use the "listen ... ssl" directive instead in /usr/local/nginx/conf/nginx.conf:138

    解决方法:编辑nginx.conf文件(先备份),
    ssl on 去掉;
    listen 443 改为 listen 443 ssl ;

 

 

HerSpoon
关注
  • 0
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
解决OpenSSL "SSL-Death-Alert" 拒绝服务漏洞(CVE-2016-8610)安全漏洞,升级OpenSSLOpenSSL 1.1.0k
10-25
最近放开了https服务,安全组扫描出新的漏洞,现对原OpenSSL 1.0.1g版本升级到OpenSSL 1.1.0k,同时重新编译OpenSSH及nginx,在此提供升级脚本,仅供参考
漏洞验证脚本ssl-deacth-alert(cve-2016-8610)
12-14
仅供学习。勿用商业。谢谢合作。漏洞验证脚本ssl-deacth-alert(cve-2016-8610)
【补丁分析】CVE-2016-8610:对导致拒绝服务的“SSL Death Alert漏洞补丁分析
鹿鸣天涯
12-18 1531
翻译:m6aa8k 预估稿费:100RMB(不服你也来投稿啊!) 投稿方式:发送邮件至linwei#360.cn,或登陆网页版在线投稿 前言 最近,一个针对OpenSSL红色警戒(SSL Death Alert)漏洞的安全补丁引起了我们的关注。与其他严重的安全漏洞一样,这个漏洞同样也引起了我们的注意,因为据漏洞的发现者称,有此漏洞OpenSSL Web服务器可能会受到拒绝服务攻击的威胁。为了更好地保护我们的客户免受这种攻击,McAfee Labs IPS漏洞研究小组针对这个问题展开了深入的..
OpenSSL告警处理不当远程拒绝服务漏洞 绿盟科技发布安全威胁通告
weixin_33712881的博客
09-01 411
OpenSSL又出漏洞CVE-2016-8610OpenSSL官方已经修复了补丁,还请广大用户尽快升级,不要犯了之前的错误。APT组织FruityArmor利用微软刚修补的漏洞发起攻击 黄金72小时的威力再次证明 攻防是在比谁更快。绿盟科技发布《OpenSSL未定义告警远程拒绝服务漏洞安全威胁通告》报告全文如下: seclists.org网...
ssl-death-alert
03-04
仅用于测试,请勿商用,后果自行承担
漏洞预警】OpenSSL 远程拒绝服务漏洞
weixin_33966095的博客
10-31 467
2019独角兽企业重金招聘Python工程师标准>>> ...
升级openssl版本修复高危漏洞——“OpenSSL红色警戒”漏洞
weixin_34043301的博客
11-27 1331
背景: 近日OpenSSL官方发布了一个影响广泛的远程匿名拒绝服务漏洞漏洞代号:SSL Death Alert”,漏洞编号:CVE-2016-8610) ,即“OpenSSL红色警戒”漏洞,利用该漏洞攻击者可通过多个连接重复发送大量重叠警告包,使服务或进程陷入无意义的循环,从而导致占用掉服务或进程100%的CPU使用率,导致拒绝服务。 该漏洞会...
OpenSSL 安全漏洞(CVE-2016-8610)修复详情步骤
qq_44179756的博客
08-10 5482
步骤1:进入opensslg官网下载对应安装包(例如1.1.1i稳定版) openssl官网:https://www.openssl.org/source/old/ 或者:源安装wget https://www.openssl.org/source/openssl-1.1.1i.tar.gz 步骤2:指定安装路径 ./config --prefix=/usr/local/openssl make && make install 步骤3:备份替换当前系统的旧版本 open..
OpenSSL拒绝服务漏洞 (CVE-2022-0778) poc证书
03-24
下载后执行 openssl x509 -in 2022_0778.pem -inform DER -text -noout 或者在自己产品证书管理界面上传证书验证 参考https://github.com/drago-96/CVE-2022-0778 制作证书验证
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
CVE-2016-8655 Linux内核提权漏洞POC
11-18
CVE-2016-8655 Linux内核提权漏洞POC
解决OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)安全漏洞,升级OpenSSLOpenSSL 1.0.1g
10-25
近期服务器开放的https的访问,确被安全组扫描出安全漏洞OpenSSL TLS 心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)),为修复该漏洞,升级OpenSSLOpenSSL 1.0.1g,同时重新编译升级OpenSSH和nginx,在此提供...
opensslopenssl-devel离线rpm安装包.zip_OPENSSL 库_openssl_openssl-deve
09-21
这时,离线安装包如`openssl-1.0.1e-57.el6.x86_64.rpm` 和 `openssl-devel-1.0.1e-57.el6.x86_64.rpm` 就显得非常有用。这两个RPM(Red Hat Package Manager)包是专门为Red Hat Enterprise Linux 6(RHEL 6)设计...
OpenSSL 拒绝服务漏洞
weixin_30609287的博客
12-05 393
漏洞名称: OpenSSL 拒绝服务漏洞 CNNVD编号: CNNVD-201312-058 发布时间: 2013-12-05 更新时间: 2013-12-05 危害等级: 漏洞类型: 威胁类型: 远程 CVE编号: 漏洞来源: AKAT-1, 227...
OpenSSL 拒绝服务漏洞CVE-2018-0739)处理及TLS验证
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
11-21 7152
漏洞描述: OpenSSL是一种开放源码的SSL实现,用来实现网络通信的高强度加密。 OpenSSL 1.1.0、1.0.2版本,若使用递归过度的恶意输入,构造的ASN.1类型可造成栈溢出,导致拒绝服务攻击。 openssl版本信息:执行openssl version获取: OpenSSL 1.0.2g 1 Mar 2016 漏洞处理 1、升级方案,官方声明: 最新的稳定版本是1.1.1系列。这...
常见绿盟扫描主机漏洞及修复方案
06-11 1万+
1、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】 中 修复意见: 建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞,使用了Secure Renegotiation。 2、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 中 修复意见: 对于NGINX的修补 修改nginx配置文件中的 ssl_ciphers项 ssl_ciphers"ECDHE-..
Linux解决CVE-2015-2808、CVE-2016-8610漏洞openssl_openssh升级具体步骤
lixinfu1980的博客
05-23 7788
问题描述RHEL 6.8 64位操作系统,由于使用低版本的SSL、SSH,导致漏洞问题。Linux解决CVE-2015-2808、CVE-2016-8610漏洞解决方案openssl升级到1.0.2o版本,openssh升级到7.7p1版本注意:以下安装时,请务必再开一个SSH窗口连接所需要升级的服务器,避免ssh升级失败后,无法连接服务器。1、准备升级的tar包openssl-1.0.2o.ta...
阿里云Linux服务器漏洞修复记录2020/09/24
u010148324的博客
09-24 1416
CVE-2017-7895 Linux kernel NFSv2和NFSv3服务器安全绕过漏洞 yum update kernel yum update kernel-devel yum update kernel-firmware yum update kernel-headers CVE-2017-11176 9.8 Linux kernel 'mq_notify'内存错误引用漏洞 CVE-2017-7542 5.5 Linux kernel 'ip6_find_1stfragopt'函数本地拒绝服务
MySQL 初始化安装与使用
热门推荐
HerSpoon的博客
09-14 2万+
第一次使用MySQL,差点没有吐血身亡,各种 ̄□ ̄||,必须来个文章吐槽一下,下面正题: 前序: 1、环境 win10 ,64位 2、MySQL下载地址:(曲折~)5.7.23 参考文档: 如何在官网上下载可安装版的MySQL数据库   正文: 1、下载的zip解压,直接双击 运行 bin/mysql.exe 安装报错,一闪而过? //-----------------攻关开始--...
openssl 拒绝服务漏洞(cve-2016-8610)
最新发布
09-10
CVE-2016-8610是一种影响OpenSSL拒绝服务漏洞。在OpenSSL 1.1.0之前,由于缺乏必要的输入验证,攻击者可以使用恶意请求通过构造特定的数字签名来导致服务拒绝响应。 该漏洞的利用条件是被攻击者使用ECDSA(椭圆曲线数字签名算法)签名验证中的非NIST曲线。攻击者构造的恶意签名请求中的曲线参数解析和验证过程中,存在漏洞可导致OpenSSL在处理这些曲线参数时发生错误。 当OpenSSL尝试验证恶意签名时,会进入一个无限循环的状态,这样会导致服务堵塞,无法响应其他请求,从而造成拒绝服务的情况。 修复CVE-2016-8610漏洞的方法是升级到OpenSSL 1.1.0版本或更高版本。在这些版本中,OpenSSL修复了该漏洞,并添加了对恶意签名的额外验证和处理。升级到新版本可以有效地避免利用这个漏洞进行拒绝服务攻击。 同时,建议定期更新和升级OpenSSL以及其他关键软件,以确保及时获取最新的安全补丁和修复程序。此外,网络管理员还应加强对服务器和网络的监控,及时发现和应对任何异常行为或攻击,以提高整体网络安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值