It was possible to detect the usage of the deprecated TLSv1.0 and/or TLSv1.1 protocol on this system

最新推荐文章于 2023-12-15 17:00:30 发布
最新推荐文章于 2023-12-15 17:00:30 发布
阅读量1.1k 收藏 4
点赞数 4
分类专栏: Linux 漏洞修复 文章标签: 漏洞修复 TLS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xch_yang/article/details/128299306
版权

漏洞描述:

It was possible to detect the usage of the deprecated TLSv1.0 and/or TLSv1.1 protocol on this system.

Medium 9001/tcp
Medium (CVSS: 4.3)
NVT: SSL/TLS: Deprecated TLSv1.0 and TLSv1.1 Protocol Detection
Summary
It was possible to detect the usage of the deprecated TLSv1.0 and/or TLSv1.1 protocol on this system.
Vulnerability Detection Result
In addition to TLSv1.2+ the service is also providing the deprecated TLSv1.0 and
,→ TLSv1.1 protocols and supports one or more ciphers. Those supported ciphers c
,→an be found in the 'SSL/TLS: Report Supported Cipher Suites' (OID: 1.3.6.1.4.1
,→.25623.1.0.802067) VT.
Impact
An attacker might be able to use the known cryptographic aws to eavesdrop the connection
between clients and the service to get access to sensitive data transferred within the secured
connection.
Furthermore newly uncovered vulnerabilities in this protocols won't receive security updates
anymore.
Solution:
Solution type: Mitigation
It is recommended to disable the deprecated TLSv1.0 and/or TLSv1.1 protocols in favor of the
TLSv1.2+ protocols. Please see the references for more information.
Aected Software/OS
All services providing an encrypted communication using the TLSv1.0 and/or TLSv1.1 protocols.
Vulnerability Insight
The TLSv1.0 and TLSv1.1 protocols contain known cryptographic aws like:
. . . continues on next page . . .
2 RESULTS PER HOST 5
. . . continued from previous page . . .
- CVE-2011-3389: Browser Exploit Against SSL/TLS (BEAST)
- CVE-2015-0204: Factoring Attack on RSA-EXPORT Keys Padding Oracle On Downgraded
Legacy Encryption (FREAK)
Vulnerability Detection Method
Check the used TLS protocols of the services provided by this system.
Details: SSL/TLS: Deprecated TLSv1.0 and TLSv1.1 Protocol Detection
OID:1.3.6.1.4.1.25623.1.0.117274
Version used: 2021-07-19T08:11:48Z
References
cve: CVE-2011-3389
cve: CVE-2015-0204

解决办法:禁用已弃用的TLSv1.0和/或TLSv1.1协议,以支持TLSv1.2+协议。

TLS发展历史:

协议发布时间状态
SSL 1.0未公布未公布
SSL 2.01995年已于2011年弃用
SSL 3.01996年已于2015年弃用
TLS 1.01999年于2021年弃用
TLS 1.12006年于2021年弃用
TLS 1.22008年
TLS 1.32018年

1、Nginx配置

如果conf/nginx.conf配置了ssl证书,且default_serverserver域里面版本如下

ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

则删除TLS1.0 TLSv1.1、增加TLS1.3

ssl_protocols TLSv1.2 TLSv1.3;

修改完后,执行./sbin/nginx -s reload重载生效。


2、Apache配置

修改/usr/local/apache/conf/extra/httpd-ssl.conf文件

vi /usr/local/apache/conf/extra/httpd-ssl.conf

在这里插入图片描述

可以看到版本还是SSLv3,修改为如下

SSLProtocol -ALL +TLSv1.2 +TLSv1.3
SSLProxyProtocol -ALL +TLSv1.2 +TLSv1.3

重启Apache

/usr/local/apache/bin/apachectl restart
程序员大佬超
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
linux安装MySQL5.7
qq_44715376的博客
07-23 1572
linux安装MySQL5.7。
低危-TLS 1.0 协议启用漏洞
qq_25983579的博客
06-04 9157
通过工具扫描和手工测试发现当前系统存在 TLS 1.0 协议启用,探测到目 标 443 端口正在使用基于 TLSv1.0 的数据加密传输,具体验证过程和结果如下图 所示 处理方式:修改nginx配置信息 #ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_protocols TLSv1.2; ...
宝塔禁用TLS1.0或者1.1
qq_39517116的博客
07-22 5712
禁用TLS1.0的原因是需要修复漏洞TLS Version 1.0 Protocol Detection 漏洞名称:TLS Version 1.0 Protocol Detection TLS版本1.0协议检测 漏洞描述:远程服务接受使用TLS 1.0加密的连接。TLS 1.0存在加密设计缺陷。更新版本的TLS(如1.1和1.2)是针对这些缺陷而设计的,应尽可能使用。PCI DSS v3.2要求在2018年6月30日之后完全禁用TLS 1.0,但POS POI终端(以及它们连接的SSL / TLS..
SSL Version 3 and 2 and TLS Version 1.1 and TLS Version 1.0 Protocol Detection
weixin_40133285的博客
04-26 7905
SSL Version 2 and 3 Protocol Detection and TLS Version 1.1 Protocol Deprecated and TLS Version 1.0 Protocol Detection 操作系统版本:Windows Server 2012 R2 前言:若原有使用TLS1.2版本,则注册表修改后即可生效,若原有未使用TLS1.2版本但封禁了可使用的SSL/TLS版本,则会导致SSL/TLS连接无法建立,重启后方生效。 The remote service ac
连接数据库SSLHandshakeException问题
我想问问天的专栏
08-08 5399
问题描述: 在测试服务器上,java程序启动的时候,日志里面出现javax.net.ssl.SSLHandshakeException,这个错误目前还没有发现是什么原因导致的,大概率是有人升级了mysql或者jdk的版本。 在查找多方资料发现,是jdk8和mysql支持的协议不一致导致的。 mysql版本:5.7.34 jdk版本:1.8.0_292 问题剖析: 1.jdk8从小版本JDK8u261开始支持TLS1.3,默认TLS1.2之前的协议在security里面是禁用的,所以从JDK8u261开始只
Nessus漏洞扫描报错:42873 - SSL Medium Strength Cipher Suites Supported (SWEET32)
最新发布
qq_41172258的博客
12-15 1427
在命令提示符(CMD)中,输入命令“gpedit”打开系统“本地组策略编辑器”;依次打开管理模板->网络->SSL配置设置->SSL密码套件顺序(双击)。个人搭建的windows server 2019服务器,被Nessus工具扫描出现三个漏洞修复比较过程比较坎坷,特记录下。替换下,保存重启服务器就行了。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 21万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
禁用了低版本的ssl协议tls1.0、tls1.1报错Received fatal alert: protocol_version
江哈哈的博客
07-26 866
第三方禁用了低版本的ssl协议tls1.0、tls1.1导致请求失败。
linux显示tlsv版本号,如何在Nginx中禁用TLSv1.0和TLSv1.1
weixin_32247455的博客
05-14 2625
从nginx documentation for ssl_protocols指令:The TLSv1.1 and TLSv1.2 parameters are supported starting from versions 1.1.13 and 1.0.12, so when the OpenSSL version 1.0.1 or higher is used on older nginx v...
This Jenkins instance uses deprecated protocols: JNLP3-connect. It may impact stability of the insta
m0_45806184的博客
11-18 190
This Jenkins instance uses deprecated protocols: JNLP3-connect. It may impact stability of the instance. If newer protocol versions are supported by all system components (agents, CLI and other clients), it is highly recommended to disable the deprecated
SSL/TLS验证_01_基础知识
毛毛的专栏
05-10 3366
一、SSL/TLS介绍 什么是SSL,什么是TLS呢?官话说SSL是安全套接层(secure sockets layer),TLS是SSL的继任者,叫传输层安全(transport layer security)。说白点,就是在明文的上层和TCP层之间加上一层加密,这样就保证上层信息传输的安全。如HTTP协议是明文传输,加上SSL层之后,就有了雅称HTTPS。它存在的唯一目的就是保证上层通讯安全的一套机制。它的发展依次经历了下面几个时期,像手机软件升级一样,每次更新都添加或去除功能,比如引进新的加密算法,修
TLS Version 1.0 Protocol Detection 漏洞修复
小小关的博客
08-26 2674
用nessus 扫描服务器发现如下漏洞,端口服务是nginx提供:漏洞修复:配置nginx server 下添加如下内容:
nginx 修复TLS1.0,TLS1.1协议漏洞
huryer的专栏
04-17 1万+
nginx 修复TLS1.0,TLS1.1协议漏洞 漏洞描述 服务 端口 漏洞名称 加固建议 nginx 443 TLS版本1.0协议检测 启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0的支持。 nginx 443 TLS版本1.1协议检测 启用对TLS 1.2或1.3的支持,并禁用对TLS 1.1的支持。 漏洞检测 >nmap --script ssl-...
TLS/SSL漏洞分析与检测
nzw1134864657的博客
07-07 3660
1.5.1 Export 加密算法 Export是一种老旧的弱加密算法,是被美国法律标示为可出口的加密算法,其限制对称加密最大强度位数为40位,限制密钥交换强度为最大512位。 1.5.2 Downgrade(降级攻击) 降级攻击是一种对计算机系统或者通信协议的攻击,在降级攻击中,攻击者故意使系统放弃新式、安全性高的工作方式,反而使用为向下兼容而准备的老式、安全性差的工作方式,降级攻击常被用于中间人攻击,讲加密的通信协议安全性大幅削弱,得以进行原本不可能做到的攻击。 在现代的回退防御中,使用单独的信号套
TLS1.0协议漏洞修复
m0_59227402的博客
12-23 9546
远程服务接受使用TLS 1.0加密的连接。TLS 1.0的现代实现减轻了这些问题,但是像1.2和1.3这样的TLS的新版本是针对这些缺陷而设计的,应该尽可能使用。PCI DSS v3.2要求在2018年6月30日之前完全禁用TLS 1.0,但POS POI终端(及其连接的SSL/TLS终端点)除外,这些终端可以被验证为不易受任何已知漏洞攻击。注: 表示使用TLS1.2协议连接通过,说明我们已经禁用了TLS1.2。启用对TLS 1.2和1.3的支持,并禁用对TLS 1.0的支持。
【中危】启用了不安全的TLS1.0、TLS1.1协议
天泽岁月
08-13 4万+
TLS1.0协议漏洞检测复现
【MySQL】关于MySQL开启SSL的服务端和客户端设置
michaelwoshi的博客
03-02 2178
一、用MySQL镜像安装MySQL # docker pullmysql:8.0 # mkdir -p /opt/mysqldata /opt/mysqlconfig /opt/sql # vim /opt/mysqlconfig/mysqld.cnf ###################################################...
漏洞修复启用了不安全的TLS1.0、TLS1.1协议
LIARRR的博客
04-12 7143
表示启用TLSv1.2 TLSv1.3 禁用其他TLS协议,注意此配置只能配置在http块或者 default_server中才能生效,且其他server块都会读取default_server中的配置。TLS 1.0和TLS1.1协议使用了脆弱的加密算法,存在重大安全漏洞,容易受到降级攻击的严重影响。启用对TLS 1.2或1.3的支持,并禁用对TLS 1.0和TLS 1.1的支持。nginx修改配置文件。出现下图则表示禁用成功。出现下图则表示禁用失败。
mysql tls_SSL/TLS深度解析--在 MySQL5.6 上部署 TLS
weixin_39932939的博客
01-19 728
注:省略MySQL5.6的安装过程[root@localhost ~]# mysql -uroot -pEnter password:Welcome to the MySQL monitor. Commands end with ; or \g.Your MySQL connection id is 2Server version: 5.6.40 Source distributionCopyr...
MySQL5.7之SSL/TLS加密连接配置
独码乐,不如众码乐,乐享其中
08-19 5906
运维必知的安全内容之TLS协议选择,如何选择合适的连接MySQL的TLS版本,本文将给出参考。查看MySQL支持的TLS协议版本,在 MySQL 5.7.28之前,可以使用 yaSSL 作为 OpenSSL 的替代方案来编译 MySQL。 从 MySQL 5.7.28开始,删除了对 yaSSL 的支持,所有 MySQL 构建都使用 OpenSSL。从 MySQL 5.7.35开始,不推荐使用 TLSv1TLSv1.1 连接协议,并且对它们的支持可能会在未来的 MySQL 版本中被删除。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

程序员大佬超

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值