SSL/TLS相关漏洞修复

最新推荐文章于 2023-11-23 15:51:51 发布
最新推荐文章于 2023-11-23 15:51:51 发布
阅读量401 收藏 2
点赞数
分类专栏: 安全及漏洞处理 文章标签: ssl 网络协议 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yudaxiaye/article/details/134108648
版权

SSL/TLS相关漏洞修复

SSL/TLS相关漏洞

漏洞清单:

  1. SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
  2. SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)
  3. SSL证书使用了弱hash算法
  4. SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
  5. SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

修复措施

  • 对于chrome浏览器:

    • linux。关闭浏览器,在terminal中直接输入命令运行

      $ google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

    • windows:快捷图标->右键->在目标后面加入引号内的内容 “–cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007”。重启浏览器生效

  • 对于windows平台:

    • 注册表修改:

      1. 打开注册表:win+R 键入 regedit
      2. 找到如下注册表:
      - [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
  "Enabled"=dword:00000000
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
  "Enabled"=dword:00000000
- [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
  "Enabled"=dword:00000000
      1. 如果Ciphers目录下没有RC4 128/128、RC4 40/128、RC4 56/128,则手动创建。
        在这里插入图片描述

    • Internet选项设置:

      1. 打开【控制面板】窗口后,根据下图箭头所指,点击【管理工具】选项

      2. 进入【管理工具】页面后,根据下图箭头所指,找到并双击【系统配置】图标

      3. 打开【系统配置】窗口后,先点击顶部【工具】,接着根据下图箭头所指,选中【Internet选项】并点击【启动】。

      4. 找到高级–安全:取沟TLS1.0和1.1,只保留1.2;1.3也不勾选。
        在这里插入图片描述

    • SSL配置

      1. win+R运行,输入gpedit.msc进入本地计算机策略
        在这里插入图片描述

      2. 本地计算机组策略——>计算机配置——>管理模板——>网络——>ssl配置设置
        在这里插入图片描述

      3. 打开ssl密码套件顺序
        在这里插入图片描述

      4. 在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。
        在这里插入图片描述

      5. SSL密码套件内容:

        TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA256

      6. 重启计算机,请仔细衡量重启风险

    • 修改注册表来增加密钥长度,在命令提示符中运行以下命令:

      reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "SSLKeyExchange" /t REG_DWORD /d 0x00000002 /f

      `reg add "HKLM\System\CurrentControlSet\Control\Terminal Server" /v "TLSCipherSuites" /t REG_SZ /d "TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256" /f`

  • 对于nginx

    server_name  127.0.0.1;
ssl_ciphers 'ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:DHE-DSS-AES128-GCM-SHA256:kEDH+AESGCM:ECDHE-RSA-AES128-SHA256:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA:ECDHE-ECDSA-AES128-SHA:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA:ECDHE-ECDSA-AES256-SHA:DHE-RSA-AES128-SHA256:DHE-RSA-AES128-SHA:DHE-DSS-AES128-SHA256:DHE-RSA-AES256-SHA256:DHE-DSS-AES256-SHA:DHE-RSA-AES256-SHA:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA256:AES256-SHA256:AES128-SHA:AES256-SHA:AES:CAMELLIA:DES-CBC3-SHA:!aNULL:!eNULL:!EXPORT:!DES:!RC4:!MD5:!PSK:!aECDH:!EDH-DSS-DES-CBC3-SHA:!EDH-RSA-DES-CBC3-SHA:!KRB5-DES-CBC3-SHA:!3DES';
ssl_prefer_server_ciphers on;
ssl_dhparam dhparams.pem;

    dhparams.pem文件是在安装有SSL的电脑上使用如下命令生成:

    openssl dhparam -out dhparams.pem 2048
雨打夏夜
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
tls中间件攻击漏洞验证工具及操作手册
04-16
tls中间件攻击漏洞验证工具及操作手册,包含命令工具等
SSL/TLS协议信息泄露漏洞(CVE - 2016 - 2183)/SWEET32漏洞修复工具
08-28
用于移除系统中可能存在的脆弱加密套件 支持win7及以上系统,包括Server版本 需要手动重启后生效
TLS1.0、1.1、1.2、1.3
08-13
RFC文档, 安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)。
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
06-09
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
.net中为 SSL/TLS 安全通道建立信任关系
09-14
.net中为 SSL/TLS 安全通道建立信任关系
低危-TLS 1.0 协议启用漏洞
qq_25983579的博客
06-04 8950
通过工具扫描和手工测试发现当前系统存在 TLS 1.0 协议启用,探测到目 标 443 端口正在使用基于 TLSv1.0 的数据加密传输,具体验证过程和结果如下图 所示 处理方式:修改nginx配置信息 #ssl_protocols TLSv1 TLSv1.1 TLSv1.2; ssl_protocols TLSv1.2; ...
漏洞修复TLS 1.0 enabled
CutelittleBo的博客
01-27 8858
描述 The web server supports encryption through TLS 1.0. TLS 1.0 is not considered to be "strong cryptography" as defined and required by the PCI Data Security Standard 3.2(.1) when used to protect sensitive information transferred to or from web sites. Acco
修复PHP扫描漏洞
weixin_43723127的博客
09-17 604
TLS 1.0 enabled 报告描述· 处理 参考网站:https://blog.csdn.net/a1368783069/article/details/85064682 如果使用chrome浏览器依次打开: 右键->审查(inspect) ->安全(security),查看到的就是TLS 1.2 ,则修改nginx 配置文件(/usr/local/nginx/conf/vhost/yourdomain.conf): ssl_protocols TLSv1 TLSv1.1 TLSv.
HTTPS加密原理
nuanqianxue7096的博客
07-24 712
说一下HTTP和HTTPS 1.概念 http是超文本传输协议,是一种客户端和服务器端请求和应答的标准,可以使浏览器更加高效。 https是以安全为目标的HTTP通道,HTTPS是在HTTP基础上加上SSL层 2.区别 https协议需要CA证书认证,费用较高 http是超文本传输协议,信息是明文传输;https是具有安全性的ssl加密传输协议 使用不同...
SSL安全漏洞解决方案
热门推荐
公子公子的博客
08-21 1万+
文章目录前言一、 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)1.详细描述2.解决办法二、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)1.详细描述2.解决办法三、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)1.详细描述2.解决办法总结 前言 上周公司对公网系统进行了安全检查,扫描出了SSL相关漏洞,主要有SSL/TLS协议信息泄露漏洞(CVE-2016-2183)、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CV
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
在Linux系统上用nmap扫描SSL漏洞的方法
鹿鸣天涯
10-20 1754
使用nmap 6.45扫描服务器心脏出血漏洞(heartbleed)的具体方法(步骤)
【PG】PostgreSQL参数详解(一)
DBA之路的博客
10-08 1392
对于磁盘驱动器,这个设置的一个很好的出发点是组成一个被用于该数据库的 RAID 0 条带或 RAID 1 镜像的独立驱动器数量(对 RAID 5 而言,校验驱动器不计入)。为了阻止由于本来对该快照可见的数据被清理导致的不正确结果,当快照比这个阈值更旧并且该快照被用来读取一个该快照建立以来被修改过的页面时,将会产生一个错误。设置数据库服务器将使用的共享内存缓冲区量。当这个特性被启用时,关系末尾的被清出的空间不能被释放给操作系统,因为那可能会移除用于检测“snapshot too old”情况所需的信息。
CVE-2015-2808-SSL/TLS 存在Bar Mitzvah Attack漏洞
Amdy_amdy的博客
12-25 5528
SSL/TLS 存在Bar Mitzvah Attack漏洞(CVE-2015-2808) 详细描述 该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法 1、服务器端禁止使用RC4加密算法。 2、客户端应在浏览器TLS配置中禁止RC4。 检测方式: 这里使用PentestBox自.
记录一个等保二的项目的漏洞处理
Admans的专栏
07-07 1523
Clickjacking是一种恶意技术,它诱骗 Web 用户点击与用户认为他们正在点击的内容不同的东西,从而可能泄露机密信息或控制他们的计算机,同时 点击看似无害的网页。此外,当用于保护传入或传出网站的敏感信息时,TLS 1.0 不被视为 PCI 数据安全标准 3.2(.1) 定义和要求的“强加密”。Visual Studio 使用此标头的值来确定正在使用的 ASP.NET 版本。找到网站根目录下的Web.config文件,用记事本打开,将 debug 属性更改为 false 以禁用该应用程序的调试。
SSL证书(HTTPS)背后的加密算法
weixin_34297704的博客
05-13 343
之前我们介绍SSL工作原理了解到当你在浏览器的地址栏上输入https开头的网址后,浏览器和服务器之间会在接下来的几百毫秒内进行大量的通信。这些复杂的步骤的第一步,就是浏览器与服务器之间协商一个在后续通信中使用的密钥算法。这个过程简单来说是这样的:浏览器把自身支持的一系列Cipher Suite(密钥算法套件,后文简称Cipher)[C1,C2,C3, …]发给服务器;服务器接...
TLS1.0协议漏洞修复
m0_59227402的博客
12-23 8795
远程服务接受使用TLS 1.0加密的连接。TLS 1.0的现代实现减轻了这些问题,但是像1.2和1.3这样的TLS的新版本是针对这些缺陷而设计的,应该尽可能使用。PCI DSS v3.2要求在2018年6月30日之前完全禁用TLS 1.0,但POS POI终端(及其连接的SSL/TLS终端点)除外,这些终端可以被验证为不易受任何已知漏洞攻击。注: 表示使用TLS1.2协议连接通过,说明我们已经禁用了TLS1.2。启用对TLS 1.2和1.3的支持,并禁用对TLS 1.0的支持。
Windows Server 2012R2 修复CVE-2016-2183(SSL/TLS)漏洞的办法
最新发布
Stestack的博客
11-23 2092
由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。3、在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。修改后,点击“应用”、“确定”,即可。4、重启服务器即可。
Windows server 2012远程桌面服务(RDP)存在SSL / TLS漏洞的解决办法
qq_44973273的博客
04-22 8350
1、 前言 为了提高远程桌面的安全级别,保证数据不被×××窃取,在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据,从而弥补了远程桌面功能本来的安全缺陷。 2、问题描述 在Windows server 2003和Windows server 2008,远程桌面服务SSL加密默认是关闭的,需要配置才可以使用;但 Windows server 2012默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存
SSL/TLS协议信息泄露漏洞
05-14
SSL/TLS协议信息泄露漏洞是指在使用SSL/TLS协议时,攻击者可以通过一些手段获取到加密通信中的明文信息,从而导致信息泄露。这种漏洞可能会导致用户敏感信息泄露、身份认证失效等安全问题。 这种漏洞的原因可能是SSL/TLS协议本身的设计缺陷,也可能是实现上的缺陷。例如,早期版本的SSL协议在加密过程中使用的是固定的密钥,攻击者可以通过分析加密报文来猜测密钥,从而获取到明文信息。此外,SSL/TLS协议中还存在一些加密算法的漏洞,例如BEAST攻击、POODLE攻击等,攻击者可以通过这些漏洞来获取加密通信中的明文信息。 为了防止SSL/TLS协议信息泄露漏洞的发生,需要使用较新的SSL/TLS协议版本,并且使用安全的加密算法。此外,还需要对服务器和客户端进行安全配置,禁用一些不安全的加密算法和协议版本。最好的方式是使用最新的TLS 1.3协议,它已经修复了之前版本中存在的大多数安全漏洞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值