SSL/TLS相关漏洞修复

最新推荐文章于 2024-09-10 13:33:07 发布
最新推荐文章于 2024-09-10 13:33:07 发布
阅读量786 收藏 3
点赞数
分类专栏: 安全及漏洞处理 文章标签: ssl 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yudaxiaye/article/details/134108648
版权

SSL/TLS相关漏洞修复

SSL/TLS相关漏洞

漏洞清单:

  1. SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
  2. SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)
  3. SSL证书使用了弱hash算法
  4. SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
  5. SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

修复措施

  • 对于chrome浏览器:

    • linux。关闭浏览器,在terminal中直接输入命令运行

      $ google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

    • windows:快捷图标->右键->在目标后面加入引号内的内容 “–cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007”。重启浏览器生效

  • 对于windows平台:

    • 注册表修改:

      1. 打开注册表:win+R 键入 regedit
      2. 找到如下注册表:
      - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
  "Enabled"=dword:00000000
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
  "Enabled"=dword:00000000
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
  "Enabled"=dword:00000000
      1. 如果Ciphers目录下没有RC4 128/128、RC4 40/128、RC4 56/128,则手动创建。
        在这里插入图片描述

    • Internet选项设置:

      1. 打开【控制面板】窗口后,根据下图箭头所指,点击【管理工具】选项

      2. 进入【管理工具】页面后,根据下图箭头所指,找到并双击【系统配置】图标

      3. 打开【系统配置】窗口后,先点击顶部【工具】,接着根据下图箭头所指,选中【Internet选项】并点击【启动】。

      4. 找到高级–安全:取沟TLS1.0和1.1,只保留1.2;1.3也不勾选。
        在这里插入图片描述

    • SSL配置

      1. win+R运行,输入gpedit.msc进入本地计算机策略
        在这里插入图片描述

      2. 本地计算机组策略——>计算机配置——>管理模板——>网络——>ssl配置设置
        在这里插入图片描述

      3. 打开ssl密码套件顺序
        在这里插入图片描述

      4. 在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。
        在这里插入图片描述

      5. SSL密码套件内容:

        TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256

      6. 重启计算机,请仔细衡量重启风险

    • 修改注册表来增加密钥长度,在命令提示符中运行以下命令:

      reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "SSLKeyExchange" /t REG_DWORD /d 0x00000002 /f

      `reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "TLSCipherSuites" /t REG_SZ /d "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" /f`

  • 对于nginx

    server_name  127.0.0.1;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!3DES';
ssl_prefer_server_ciphers on;
ssl_dhparam dhparams.pem;

    dhparams.pem文件是在安装有SSL的电脑上使用如下命令生成:

    openssl dhparam -out dhparams.pem 2048
雨打夏夜
关注
专栏目录
windows 修复SSL/TLS协议信息泄露漏洞
Hu_wen的专栏
08-15 3391
打开“SSL密码套件顺序”,更改为已启用,并在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,定位到计算机配置-管理模板-网络-SSL配置设置。...
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)(原理扫描)漏洞修复
cp的博客
08-23 3765
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)(原理扫描)漏洞修复
ssl证书生成工具解决哈希算法签名的SSL证书(CVE-2004-2761)
01-04
哈希算法签名的SSL证书(CVE-2004-2761)。 远程服务使用SSL证书链,该证书链已使用加密哈希算法(例如MD2、MD4、MD5或SHA1)签名。这些签名算法很容易受到碰撞攻击。攻击者可以利用这一点生成另一个具有相同数字签名的证书,从而允许攻击者伪装成受影响的服务。
漏洞复现】CVE-2004-2761:使用哈希算法签名的 SSL 证书(SSL Certificate Signed Using Weak Hashing Algorithm)
qq_43455906的博客
08-07 1万+
本次复现是针对编号为CVE-2004-2761的漏洞,由于条件有限,本次复现通过创建自签名证书进行操作。解决证书链中的 SSL 证书使用哈希算法进行签名的问题。
Windows 2012 R2 SSL证书漏洞修复指南
gitblog_09752的博客
09-05 403
Windows 2012 R2 SSL证书漏洞修复指南 使用哈希算法签名的SSL证书CVE-2004-2761.7z项目地址:https://gitcode.com/open-source-toolkit/048e3 简介 本资源文件提供了关于Windows 2012 R2系统中使用哈希算法签名的SSL证书漏洞(CVE-2004-2761)的修复方法、工具及相关文档。该漏洞可能导致系统安全性...
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
热门推荐
hongweibing1的专栏
11-21 5万+
详细描述 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 解决办法 临时解决方法:  SSL/TLS  --------  1、禁止apache服务器使用RC4加密算法
Windows Server2012 R2修复SSL/TLS漏洞(CVE-2016-2183)
Linux I Tell U
11-18 5335
是一个TLS加密套件缺陷,存在于OpenSSL库中。该缺陷在于使用随机数生成器,攻击者可以利用此缺陷预测随机数的值,从而成功绕过SSL/TLS连接的加密措施,实现中间人攻击。这个漏洞影响了OpenSSL 1.0.2版本之前的版本,而在1.0.2版本及以后的版本中已经修复了该漏洞
漏洞修复-SSL Certificate Cannot Be Trusted、SSL Self-Signed Certificate、SSL Certificate with Wrong Hostna
最新发布
LCG元的博客
09-10 483
SSL证书不可信、SSL自签名证书SSL证书主机错误漏洞修复1、可检查防火墙端口20005是否开启,关闭其端口2、添加新规则,关闭端口20005
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
SSL/TLS协议信息泄露漏洞(CVE - 2016 - 2183)/SWEET32漏洞修复工具
08-28
用于移除系统中可能存在的脆加密套件 支持win7及以上系统,包括Server版本 需要手动重启后生效
Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
AZerork的博客
12-12 2万+
很久没水文章了,之前遇到漏扫软件扫出一台Windows Server存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183),漏扫提供的修补链接已经失效,又在在网上查了很多文章,基本都是CtrlCV毫无作用,于是自己翻看了漏洞信息后弄了个修复方法。以下仅根据漏洞信息从修复方向讨论如何确认漏洞是否存在和修复方法。
漏洞修复TLS协议加密问题漏洞(原理扫描) CVE编号 CVE-2015-4000
m0_52985087的博客
09-07 2890
在互联网时代,服务器安全一直是一个极其重要的话题。随着软件版本的不断迭代更新,服务器面临的漏洞威胁也不断增加。因此,服务器通常需要定期接受主机各方面的漏洞报告,以便及时发现并修复可能出现的安全隐患。一般情况下,这些漏洞报告是由于服务器上部署的软件存在安全漏洞所引起的。当扫描程序检测到服务器上安装的软件版本较旧时,就可能发现某些已知的漏洞。为了解决这种情况,最有效的方法就是升级软件版本,以消除可能存在的漏洞。当出现漏洞报告时,管理员需要及时评估漏洞的风险和紧急程度,并计划相应的修复措施。
Windows系统启用TLS1.2和TLS1.3详解(TLS漏洞修复
August_Leaf的博客
08-26 3842
在公司的安全扫描中,发现TLS漏洞(TLS Version 1.0 Protocol Detection)、(TLS Version 1.1 Deprecated Protocol),漏洞描述是说服务器中使用低版本的TLS协议(服务器中默认使用TLS1.0和TLS1.1版本)。经过检索后,发现没有能解决问题的,什么改浏览器设置都是扯淡。因此,总结出TLS协议升级的流程以供参考。
SSH&SSL加密算法漏洞修复
weixin_39078334的博客
12-16 4751
一、SSH SSH的配置文件中加密算法没有指定,默认支持所有加密算法,包括arcfour,arcfour128,arcfour256等加密算法。 修改SSH配置文件,添加加密算法: vi /etc/ssh/sshd_config 最后面添加以下内容(去掉arcfour,arcfour128,arcfour256等加密算法):Ciphers aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc ssh_config和sshd_config都
主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件
tengtianshan的专栏
03-19 3405
主机漏洞-RC4密码套件 验证方式:17 验证语句:openssl s_client -connect 网站地址 -cipher RC4 或者使用nmap进行测试 nmap -p 443 --script=ssl-enum-ciphers TARGET确保服务器支持密码类型不使用RC4。 如下图: 如果能够查看到证书信息,那么就是存在风险漏洞 如果显示sslv3 alerthandshake failure,表示改服务器没有这个漏洞。 修补方式: 服务器 对于NGINX的修补 .
Windows Server 服务器漏洞SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566) 和 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
小菜鸟的博客
10-24 1647
SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566) 和 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】
qq_42449510的博客
07-30 3万+
RC4加密算法关闭漏洞信息验证方法关闭apache对RC4的支持 漏洞信息 2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性密钥(《Weakness in the Key Scheduling Algorithm of RC4》,FMS 发表于2001年)进行的攻击,并命名为“受戒礼”攻击(Bar Mitzvah
SSL加密算法漏洞原理以及修复方法
it知识分享 free for nothing..
01-02 5946
SSL加密算法漏洞原理以及修复方法
SSL/TLS协议信息泄露漏洞
05-14
SSL/TLS协议信息泄露漏洞是指在使用SSL/TLS协议时,攻击者可以通过一些手段获取到加密通信中的明文信息,从而导致信息泄露。这种漏洞可能会导致用户敏感信息泄露、身份认证失效等安全问题。 这种漏洞的原因可能是...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值