常见绿盟扫描主机漏洞及修复方案
1、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】 中
修复意见:
建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞,使用了Secure Renegotiation。
2、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 中
修复意见:
对于NGINX的修补
修改nginx配置文件中的 ssl_ciphers项
ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
重新加载:
$sudo /etc/init.d/nginx reload
对于apache的修复
打开配置文件
$ sudo vi /etc/httpd/conf.d/ssl.conf
修改配置
SSLCipherSuite
HIGH:MEDIUM:!aNULL:!MD5;!RC4
$ sudo /etc/init.d/httpd restart
对于TOMCAT的修复
server.xml 中SSL connector加入以下内容:
SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
3、SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566) 中
修复意见:
Apache
在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3: SSLProtocol All -SSLv2 -SSLv3 重启Apache
Nginx
在配置文件中使用: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 重启Nginx
4、OpenSSL SSL-Death-Alert 拒绝服务漏洞(CVE-2016-8610)
修复版本:
openssl-1.0.2分支的1.0.2i及后续版本
openssl-1.1.0分支的1.1.0a及后续版本
5、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)
修复版本:openssl-0.98m之后的版本
6、SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
修复方案:
1、升级到最新的JDK版本(8.0以上),就可以立刻解决该问题。
2、如果没有办法升级JDK,可以采用调整服务器加密套件的配置来解决。 Tomcat 基于Java 1.6,请在Server.xml中增加以下ciphers配置:
<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11Protocol”
……
ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA"></connector>
基于Java 7,请在Server.xml中增加以下ciphers配置:
<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11Protocol”
……
ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA"></connector>
Weblogic
找到config.xml文件,修改编辑其中<ciphersuite></ciphersuite>参数,增加:
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
7、检测到远端rexec服务正在运行中 端口:512 高
建议立即禁用rexecd服务:
*在windows下禁用rexecd服务 打开服务控制面板,在服务列表中找到rexec项,选择停止服务
*在unix系统下禁用rexecd服务 在“/etc/inetd.conf”里注释掉“exec”行并重起inetd服务。
8、服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】
修复方案:
Apache解决办法: 升级到Apache 2.2.15以后版本
IIS解决办法: IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。
Lighttpd解决办法: 建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = “enable”。
Nginx解决办法: 升级至nginx-1.15.2 版本
Tomcat解决办法:
1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配置: <Connector protocol=”org.apache.coyote.http11.Http11NioProtocol”> (可能会影响Tomcat性能);
2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。 参考链接: https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.htmlhttps://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.htmlhttp://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcathttps://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison
Squid解决办法: 升级到3.5.24以及以后版本
9、OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)【原理扫描】
受影响系统:
OpenSSL Project OpenSSL 1.0.2-beta1
OpenSSL Project OpenSSL 1.0.2-beta
OpenSSL Project OpenSSL 1.0.1f
OpenSSL Project OpenSSL 1.0.1e
OpenSSL Project OpenSSL 1.0.1d
OpenSSL Project OpenSSL 1.0.1c
OpenSSL Project OpenSSL 1.0.1b
OpenSSL Project OpenSSL 1.0.1a
OpenSSL Project OpenSSL 1.0.1
不受影响系统:
OpenSSL Project OpenSSL 1.0.2-beta2
OpenSSL Project OpenSSL 1.0.1g
OpenSSL Project OpenSSL 1.0.0
OpenSSL Project OpenSSL 0.9.8
临时解决方法:
NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。
厂商补丁:
OpenSSL Project
—————
Openssl已经发布了Openssl 1.0.1g修复此问题,:
厂商安全公告:
https://www.openssl.org/news/secadv_20140407.txt
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3
对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。
主流Linux发行版也已经发布相关补丁,请尽快升级。
10、Redis 配置不当可直接导致服务器被控制【原理扫描】
修复方案:
防止这个漏洞需要修复以下三处问题
第一:修改redis绑定的IP如果只在本机使用redis服务那么只要绑定127.0.0.1如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口最好不要绑定0.0.0.0另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问redis服务
第二:设置访问密码在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。注:修改redis的配置需要重启redis才能生效。
第三:使用普通用户启动redis,并且禁止该用户启动shell,禁止使用root用户启动redis。
11、Redis 未授权访问漏洞【原理扫描】
修复方案:
方法一:可以修改绑定的IP、端口和指定访问者IP具体根据实际情况来设定,也可以直接在服务器防火墙上做设置。
方法二:设置访问密码在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。注:修改redis的配置需要重启redis才能生效。
12、ZooKeeper 未授权访问【原理扫描】
修复方案:
为ZooKeeper配置相应的访问权限。
方式一:
1)增加一个认证用户addauth digest 用户名:密码明文eg. addauth digest user1:password1
2)设置权限setAcl /path auth:用户名:密码明文:权限eg. setAcl /test auth:user1:password1:cdrwa
3)查看Acl设置getAcl /path
方式二:
setAcl /path digest:用户名:密码密文:权限
13、远端WWW服务支持TRACE请求
修复方案:
管理员应禁用WWW服务对TRACE请求的支持。IISURLScanApacheSource Code ModificationMod_Rewrite ModuleRewriteEngine onRewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F]
常见绿盟扫描主机漏洞及修复方案相关推荐
- 常见主机漏洞及修复方案
1.openssh累积型漏洞 高 cve-2017-10012 修复意见: 升级版本至>=openssh-5.3p1-122.el6 2.NTP累积型漏洞 高 修复意见: 稳定版请尽快安装 ...
- 绿盟漏扫系统漏洞及修复方案
绿盟漏扫系统漏洞及修复方案 漏洞1 详细描述: 1.X-Content-Type-Options HTTP 消息头相当于一个提示标志,被服务器用来提示客户端一定要遵循在 Content-Type 首部 ...
- 检测到目标URL存在http host头攻击漏洞,修复方案:在Web服务器防止Host头攻击
一.前言 漏洞描述:为了方便的获得网站域名,开发人员一般依赖于HTTP Host header.例如,在php里用_SERVER["HTTP_HOST"].但是这个header是不 ...
- 常见安全漏洞及修复方案
1.1 跨站脚本(XSS)漏洞 漏洞描述 跨站脚本攻击(Cross Site Scripting, XSS)发生在客户端,可被用于进行窃取隐私.钓鱼欺骗.偷取密码.传播恶意代码等攻击行为. 恶意的攻击 ...
- XSS漏洞及修复方案
XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶意制造的网页程序.这些恶意网页程序通常是JavaScript,但实际上也可以包括Java ...
- oracle tns远程监听器中毒,Oracle 11.2.0.4 TNS 监听器远程中毒漏洞(CVE-2012-1675)修复方案...
Oracle 11.2.0.4 单实例和RAC修复方案 随着对网络安全的进一步重视,Oracle TNS 监听器远程中毒漏洞(CVE-2012-1675)被列为了高危漏洞,需要进行漏洞修复. 从Ora ...
- php imagemagick 漏洞,ImageMagick漏洞(CVE-2016-3714)修复方案
关于这个漏洞影响ImageMagick 6.9.3-9以前是所有版本,包括ubuntu源中安装的ImageMagick.而官方在6.9.3-9版本中对漏洞进行了不完全的修复.所以,我们不能仅通过更新I ...
- os安全漏洞手动修复方案
本次方案设计主要针对手动安装部署漏洞修复包,方案主要思路提供一个shell脚本,该脚本支持本地漏洞rpm包的checklist.install,rollback. 一.漏洞修复软件包目录结构:inst ...
- 绿盟扫描监测出URL存在http host 头攻击漏洞的解决方案
在tomcat(6以上版本)的server.xml配置文件中替换配置: <Host name="www.tcm.com" appBase="webapps" ...
- 绿盟扫描报告信息提取
1.下载第三方扩展库 filterbuilder.jar htmllexer.jar htmlparser.jar jsoup-1.9.2.jar junit.jar sax2.jar t ...
最新文章
- ping命令使用及其常用参数
- 【软件差错警示钟】一起软件差错造成的多名病人死亡事故
- python爬虫详细步骤-Python爬虫的两套解析方法和四种爬虫实现过程
- “进度条”博客——第十六周
- GPE监控多台MySQL_zabbix监控多个服务器
- stm32 带通滤波器_带通滤波 - 基于STM32芯片和TFT-LCD的便携式心电图仪设计
- P3708-koishi的数学题【差分】
- Github Pages + Jekyll 独立博客一小时快速搭建上线指南
- 神经网络入门--连载1
- LeetCode : Word Pattern
- 【C++】memset()给整形数组赋初值的坑(不要这么做)
- Servlet面试题
- Linux返回上一级目录的命令
- RationalDMIS7.0 编程测量快速入门教程(山涧果子)
- 基于php+mysql的大学生四六级英语考试报名成绩管理
- python 求pi_python下利用无穷级数计算pi值
- 什么是WRAP认证?WRAP认证详解
- 框架设计的局部与整体
- 服务器机械硬盘坏了怎么修复,机械硬盘能修吗
- 2023年MathorCup数模B题赛题