【案例63】SSL RC4 加密套件支持检测 (Bar Mitzvah)修复方案

于 2024-08-28 11:10:59 发布
阅读量416 收藏 4
点赞数 7
分类专栏: NC\NCC 文章标签: ssl 网络 网络协议 linux 服务器 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zfr629/article/details/141635367
版权

漏洞详情信息

漏洞名称

SSL RC4 加密套件支持检测 (Bar Mitzvah)

漏洞等级

漏洞描述

远程主机支持在一个或多个密码组中使用 RC4。
RC4 密码在伪随机字节流的生成中存在缺陷,导致引入了各种各样的小偏差,降低了其随机
性。
如果反复加密明文(例如 HTTP cookie),并且攻击者能够获得许多(即上千万)密文,则
该攻击者可能会推测出明文。

漏洞影响

攻击者可利用大量的密文推测明文,导致远程主机信息泄露。

漏洞修复方案

方案一(如果有Nginx或者Apache禁用RC4)

方案描述

如果可能,请重新配置受影响的应用程序以避免使用 RC4 密码。可以考虑在浏览器和 Web
服务器的支持下将 TLS 1.2 用于 AES-GCM 组。

修复流程

找到ssl 配置文件 > 禁用RC4 密码组 > 重启服务 > 检查是否禁用成功 > 完成

步骤1:找到ssl 配置文件

Apache 配置文件

vi /apache/conf/extra/httpd-ssl.conf

使用yum 源下载的则:vi /etc/httpd/conf.d/ssl.conf

Nginx 配置文件

vi /etc/nginx/nginx.conf

其他服务器以实际情况为准。

步骤2 禁用RC4 密码组

找到SSL 密码组配置,Apache 中为:SSLCipherSuite、Nginx 中为:ssl_ciphers
如果配置中存在:RC4 密码组,如图

将其改为:!RC4,如果不存在,新增即可。

 步骤3 重启服务 

### 如果做成了服务
Apache:systemctl restart httpd
Nginx:systemctl restart nginx

### 如果非服务模式

Apache:/apache/bin/httpd -s restart
Nginx:/nginx/sbin/nginx -s restart

 步骤4 检查是否禁用成功

openssl s_client -connect IP 地址:443 -cipher RC4

如图表示已禁用成功 

方案二 Windows(无Apache、Nginx) 

操作前提Windows2008R2 必须先安装补丁kb4103712

https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/secu/2018/04/windows6.1-
kb4103712-x64_44bc3455369066d70f52da47c30ca765f511cf68.msu

Windows2012R2必须先安装以下补丁:KB2919355

https://www.microsoft.com/zh-CN/download/details.aspx?id=42334
KB4103715
http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/04/windows8.1-kb4103715-
x64_43bebfcb5be43876fb6a13a4eb840174ecb1790c.msu

Windows2016必须先安装以下补丁:KB4103723

https://catalog.s.download.windowsupdate.com/d/msdownload/update/software/secu/2018/05/windows10.0-
kb4103723-x64_delta_9c58708904a7320f572dd37c484ca0a6d58ffbb7.msu

修复流程

步骤1 打开本地组策略编辑器 

按下Win+R,输入 gpedit.msc 进入到本地组策略编辑器

步骤2 打开SSL 配置设置

依次打开:计算机配置 —> 管理模板 —> 网络 —> SSL 配置设置

步骤3 修改SSL 密码套件顺序置

双击 SSL 密码套件顺序,选择“已启用”,SSL 密码套件中输入如下内容:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AE
S_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_
ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256
_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_C
BC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WIT
H_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS
_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC
_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA
_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P
384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_
AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS
_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,T
LS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AE
S_128_CBC_SHA

 

步骤4 重启操作系统 

Z.Virgil
关注
  • 7
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
rc4加密问题漏洞修复_「ssl漏洞」网站SSL安全漏洞修复指南
weixin_32022555的博客
12-24 2240
前段时间对公司的网站进行了一下扫描,使用的是awvs扫描器,发现了几处SSL方面的安全漏洞,网上找了一些修复的建议,分享给大家,如果你也遇到和我一样的问题,可以用此修复Web网站的SSL漏洞主要包括如下几种:1、SSL RC4 Cipher Suites Supported2、SSL Weak Cipher Suites Supported3、TheFREAKattack(export ci...
主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件
YNlanduiyun的博客
01-19 9427
一、漏洞分析 事件起因 2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥(《Weakness in the Key Scheduling Algorithm of RC4》,FMS 发表于2001年)进...
【漏洞】SSL RC4 加密套件支持检测 (Bar Mitzvah)【原理扫描】
spring_is_coming的博客
05-26 7305
【漏洞】SSL RC4 加密套件支持检测 (Bar Mitzvah)【原理扫描】
修复SSL RC4 Cipher Suites Supported (Bar Mitzvah)漏洞
平庸
01-29 5236
修复SSL RC4 Cipher Suites Supported (Bar Mitzvah)漏洞
中危漏洞:SSL/TLS 存在Bar Mitzvah Attack漏洞,整改方法:
yjfkeifk的博客
01-18 4155
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128] “Enabled”=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128] “Enabled”=dword:00000000 [HKEY
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 【可验证】--解决
冰恋云的专栏
07-31 708
SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。控制面板--->系统和安全--->管理工具--->本地安全策略--->本地策略--->安全选项--->系统加密:将FIPS兼容算法用于加密、哈希和签名;
SSL/TLS 存在Bar Mitzvah Attack漏洞,Windows IIS 禁用rc4 算法
林中明月间丶
10-26 971
漏洞: 解决:windows禁用rc4 算法-技术文章-jiaocheng.bubufx.com https://www.cnblogs.com/simonlee-hello/p/14779921.htmlRC4这套加密方法是在20世纪末期被研究出来并在2000年左右被大量的网站所使用,但是在02年出现了漏洞且持续了13年才被一个外国大佬所发现。成因总结来说:就是加密方式太老了,长时间更换网站加密方式导致了攻击者可以进行中间人攻击,能够有效地进行大量用户的嗅探监听和会话劫持。攻击者可以在特定环境下只通过嗅探
RC4弱密码套件检测
weixin_30571465的博客
12-01 2702
一、漏洞分析 事件起因 2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥(《Weakness in the Key Scheduling Algorithm of RC4》,FMS发表于2001年...
RC4密码算法测试代码
07-20
RC4是一种广泛使用的流式密码算法,由Ronald Rivest在1987年设计,最初是为了商业用途,但后来由于其简单性和高效性,它也被广泛应用在许多开源项目和互联网协议中,如WEP(无线等效加密)和SSL/TLS协议。尽管RC4在...
tomcat禁用RC4的方法
12-14
禁用RC4SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】) 编缉$CATALINA_HOEM/conf/server.xml配置文件,找到https端口配置处,修改如下: 复制代码 maxThreads="150" SSLEnabled="true" ...
SSL/TLS协议信息泄露漏洞修复
童龙辉的博客
08-22 718
概述:CVE-2016-2183 是一个涉及 SSL/TLS 协议信息泄露的漏洞,也被称为 "SWEET32" 攻击。该漏洞利用了某些对称加密算法(如 3DES)的弱点,攻击者可以通过捕获和分析大量的加密流量,可能会恢复明文数据。
使用 OpenSSL 进行 RSA 密钥生成与加解密操作(命令行方式)
吻等离子的博客
08-27 248
通过 OpenSSL,我们可以轻松地生成 RSA 密钥对,并利用公私钥进行数据的加密与解密操作。本文介绍了如何使用 OpenSSL 命令行工具生成 RSA 密钥,以及如何利用这些密钥来安全地加解密数据。这些操作对于保障数据传输的安全性至关重要,在实际应用中具有广泛的用途。
SSL连接出错原因有哪些?
DNS_1CSDN的博客
08-23 552
如果用户的设备被感染了恶意软件,或者连接到了不可信的网络,就有可能遭受中间人攻击,导致 SSL 连接出错。总之,SSL 连接出错可能是由多种原因引起的,我们需要仔细分析错误信息,找出问题的根源,并采取相应的措施来解决问题。例如,防火墙可能会阻止 SSL 连接的建立,或者操作系统的时间不同步也可能导致 SSL 连接出错。SSL 证书的有效性是基于服务器的时间的,如果服务器的时间与客户端的时间不同步,可能会导致证书被认为已过期或未生效,从而导致 SSL 连接出错。1、定期检查证书的有效期,及时更新证书。
国密起步1:GmSSL3安装和使用AES
编程之道在明明德在亲民在止于至善
08-27 437
国密起步1:GmSSL3安装和使用AES
浏览器发送HTTP请求的过程
学Python的小白!
08-25 1432
浏览器发送HTTP请求的过程是一个复杂但有序的步骤,‌主要包括以下几个阶段:‌1.构建请求,2.查找缓存、3.DNS解析、4.建立TCP连接、5.发送HTTP请求、6.服务器处理请求、7.服务器发送响应、8.客户端处理响应、9.关闭连接。
哪些类型的企业需要开展TPM管理培训?
tianxingjian713的博客
08-23 897
例如汽车制造企业、电子制造企业等,这些企业的生产线通常由大量高精度的自动化设备组成,一旦设备出现故障,可能会导致整个生产线停产,造成巨大的经济损失。开展TPM管理培训可以提高员工对设备的维护和管理能力,延长设备的使用寿命,降低设备维修成本,提高物流服务的效率和质量。通过开展TPM管理培训,让设备操作人员、维护人员和管理人员共同参与设备维护,实现设备的零故障运行,从而提高企业的竞争力。通过开展TPM管理培训,让员工了解设备的运行原理和风险点,加强设备的日常巡检和维护,提高设备的安全性和可靠性。
系统编程 网络 http协议
qq_69971969的博客
08-24 445
--------------------------------------表示了资源所在的路径。意思:域名解析=>把对应的域名解析为对应的ip。<协议>://<主机>:<端口>/<路径>万维网:http解决万维网之间互联互通。http:应用层协议,底层是tcp协议。http协议------应用层的协议。1.如何在万维网中表示一个资源?http协议加密:tls,ssl。计算机web网络只能看到文字。<http>只是协议的一种。html 超文本标记语言。http 超文本传输协议。
33.python socket
最新发布
笔生花的博客
08-27 461
python socket 心跳包 数据包
cve-2015-2808
08-12
由于您提供的引用内容与问题不相关,无法回答关于cve-2015-2808的问题。请提供与问题相关的引用内容或提供更多信息,以便我能够帮助您回答问题。谢谢!<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞加固指南](https://blog.csdn.net/vipee1/article/details/127506420)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值