1. 漏洞信息

序号

漏洞类型

风险等级

漏洞主机( 操作系统及版本)

1

SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞

linux

漏洞加固实施

漏洞1:SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)

漏洞详细

漏洞描述:

SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷。

漏洞引发的威胁:

它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。

加固方案

方案1:

禁止apache服务器使用RC4加密算法

vi /etc/httpd/conf.d/ssl.conf

修改为如下配置

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

方案2:

关于nginx加密算法

1.0.5及以后版本,默认SSL密码算法是HIGH:!aNULL:!MD5

0.7.65、0.8.20及以后版本,默认SSL密码算法是HIGH:!ADH:!MD5

0.8.19版本,默认SSL密码算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM

0.7.64、0.8.18及以前版本,默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP

低版本的nginx或没注释的可以直接修改域名下ssl相关配置为

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES

256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC

M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

ssl_prefer_server_ciphers on;

需要nginx重新加载服务

风险控制措施

整改时需要业务管理人员进行测试,测试前需要做好相关配置文件和数据的备份,以防止出现影响业务系统进行回退。

验证结果

整改完成后需要进行漏洞扫描验证;

其他说明

加固后,服务端不支持RC4加密算法,如客户端只支持RC4加密算法则无法访问服务端s。

SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)漏洞加固指南相关推荐

  1. NVE-01-2015-11090:SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) [端口: 443]

    漏洞标识 NVE-01-2015-11090 漏洞名称 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 漏洞类别 WEB服务器测试 发布日期 2015.03.3 ...

  2. SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)

    服务器被绿盟软件扫描出存在SSL/TLS漏洞, SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它 ...

  3. 主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件

    主机漏洞-RC4密码套件 验证方式:17 验证语句:openssl s_client -connect 网站地址 -cipher RC4 或者使用nmap进行测试 nmap -p 443 --scri ...

  4. 受诫礼漏洞_硬件漏洞,您如何才能正确地做所有事情并仍然受到损害

    受诫礼漏洞 In the first week of 2018, Meltdown and Spectre were publicly disclosed. The news of these vul ...

  5. 关于精准打击自签名伪造SSL/TLS “受信任域名证书”的方案

    目前有两种方法可以实现精准打击 "自签名伪造SSL/TLS "受信任域名证书" 1.普通人可以实现的精准打击方案. 当 "SSL/TLS" 数据经过您 ...

  6. SSL/TLS Bar Mitzvah Attack 漏洞 [ 受诫礼(BAR-MITZVAH) ]

    关于SSL/TLS最新漏洞"受戒礼"初步报告 文章: http://www.freebuf.com/articles/network/62442.html 做了详细的说明. 我的业 ...

  7. SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】

    RC4加密算法关闭 一.漏洞信息 二.验证方法 三.关闭apache对RC4的支持 一.漏洞信息 2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HA ...

  8. SSL/TLS类安全漏洞及SLB安全漏洞问题

    SSL/TLS类安全漏洞及SLB安全漏洞问题 1 : 问题背景 1.1.SSL/TLS类漏洞-Sweet32 攻击 1.2.SSL/TLS类漏洞-弱密码套件 2 : 解决思路 2.1.学习SSL/TL ...

  9. rc4算法安全漏洞_(转)SSL/TLS 漏洞“受戒礼”,RC4算法关闭

    原文:https://blog.csdn.net/Nedved_L/article/details/81110603 SSL/TLS 漏洞"受戒礼" 一.漏洞分析 事件起因 201 ...

最新文章

  1. [Win32]IP数据报的首部如何定义
  2. Python学习笔记:web开发1
  3. MyEclipse 中自动安插作者、注释日期等快捷键方法
  4. figma下载_迁移至Figma
  5. 从CLR GC到CoreCLR GC看.NET Core为云而生
  6. c#中使用openssl
  7. flask mysql orm,flask的orm框架(Flask-SQLAlchemy)-创建表
  8. java语言程序设计(基础篇) 第2章 基本程序设计 课本源代码
  9. T-sql语句查询执行顺序
  10. 【LeetCode】【数组】题号:*442,重复元素出现两次
  11. 超宽带 DWM1000模块 引脚连接
  12. mysql权限管理命令小结
  13. dcdc升压计算器excel_DC-DC升降压芯片(MC34063A/33063)典型电路与元件参数在线计算_三贝计算网_23bei.com...
  14. php linux 一键部署工具,Linux一键配置工具ezhttp介绍
  15. Hadoop技术内幕-Hadoop远程过程调用
  16. 概率空间--样本--事件--随机变量--
  17. 18款 jQuery UI框架
  18. 营收超10亿元,又一家英特尔与小米投资的中国半导体企业即将上市
  19. RGB图像之灰度级和通道的理解(矩阵含义等)
  20. 什么是SOLID原则(第1部分)

热门文章

  1. 计算机毕业设计springboot+vue基本微信小程序的线上服装店系统-服装商城
  2. linux interfaces文件,Linux /etc/network/interfaces配置接口方法
  3. 持续交付基金会(CDF)首届中国本土化 Meetup 参会提醒
  4. 设计模式-观察者模式练习
  5. 小白数据结构学习--数组为何从0开始
  6. AI图形算法之一:液位计识别
  7. 高二假期学习方法指导_在这个假期中摆脱困境的45种方法(文章愿望清单)
  8. php相机拍照太大,光比太大,拍照片不是曝光不足就是过曝,一招帮你解决
  9. Java AjaxResult 操作消息提醒返回
  10. 我的2011--研究生的这一年