说明

此文章主要记录工作中遇到的漏洞以及修复过程。

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

漏洞信息

名称	SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】【可验证】
详细描述	TLS是安全传输层协议，用于在两个通信应用程序之间提供保密性和数据完整性。TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界，这可使远程攻击者通过Sweet32攻击，获取纯文本数据。
危险程度说明	攻击者可以远程执行任意命令或者代码，或对系统进行远程拒绝服务攻击。
发现日期	2016-08-31
CVE编号	CVE-2016-2183
CNVD编号	CNVD-2016-06765
CNNVD编号	CNNVD-201608-448
CNCVE编号	CNCVE-20162183

解决办法

建议：避免使用IDEA、DES和3DES算法

1. OpenSSL Security Advisory [22 Sep 2016]
   链接：https://www.openssl.org/news/secadv/20160922.txt
   请在下列网页下载最新版本：
   https://www.openssl.org/source/
2. 对于nginx、apache、lighttpd等服务器禁止使用DES加密算法
   主要是修改conf文件
3. Windows系统可以参考如下链接：
   https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel

验证方法

根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理，通过发送精心构造的数据包到目标服务，根据目标的响应情况，验证漏洞是否存在

修复步骤

说明

原本我的nginx中使用的openssl 版本号为：1.0.2s
升级后的openssl 版本号为：1.1.1K

查询当前使用的openssl版本号

使用命令查询当前版本号

openssl version

下载并安装新版本的openssl

进入到 /usr/local 目录，使用以下命令下载最新版的安装包到此目录下。

wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz --no-check-certificate

解压安装包

tar xvf openssl-1.1.1k.tar.gz

进入解压出来的文件夹

 cd /usr/local/openssl-1.1.1k/

编译安装

./config && make && make install

echo "/usr/local/lib64/" >> /etc/ld.so.conf

ldconfig

将旧的备份

mv /usr/bin/openssl /usr/bin/openssl.old

创建文件软连接

ln -sv /usr/local/bin/openssl /usr/bin/openss

结束后在此查询openssl的版本号，验证是否升级成功

替换nginx中使用的openssl到最新版

进入nginx的安装目录下的sbin下，运行命令查看详细信息

./nginx -V

并从详细信息的onfigure arguments中获取到旧版本的详细配置参数，我的参数如下:

--prefix=/usr/local/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.0.2s

找到nginx的 configure 文件。以下是我的nginx目录结构.configure 文件在 nginx-1.23.2 中，cd nginx-1.23.2 进入此文件夹。

使用以下命令重新编译nginx.

# 注意：
# --prefix 之后的配置内容和旧版的一致。但是 --with-openssl 部分必须改成新的版本号。./configure   --prefix=/usr/local/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.1.1k && make && make install

等待编译完成。
完成后，关闭原来运行着的nginx

pkill -9 nginx

进入安装路径下的sbin 目录下启动nginx

./nginx

启动完成后查看nginx的版本信息，验证nginx的openssl版本号是否已经升级成功。

将以下的内容替换 nginx 的443配置中的 ssl_ciphers 内容，禁用指定算法

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE:!IDEA:!DES;

进入安装路径下的sbin 目录下重新加载nginx配置

./nginx -s reload

【漏洞修复】 CVE Linux 系统应用漏洞修复笔记相关推荐

1. Linux命令修复方法,Linux系统MBR的修复方法

   MBR boot loader介绍 MBR是硬盘中第一个扇区的前512个字节,称为main boot record,512字节中的前446个字节为boot loader 所在部分,boot loade ...

2. 最好用的Linux系统磁盘数据修复工具合集！

   磁盘是计算机技术中非常常见的概念,它是计算机主要的存储介质,可以存储大量的二进制数据,并且断电后也能保持数据不丢失.但在日常工作中,我们经常会遇到不小心误删数据的情况,因此就需要进行数据恢复,那么Li ...

3. Linux系统bash漏洞

   Linux系统bash漏洞 前言 一.漏洞介绍 二.实验过程 总结 前言 bash,全称为Bourne-AgainShell,是控制Linux计算机命令提示符的软件.2014年被发现其存在严重的安全漏 ...

4. centos光盘修复引导_安装光盘修复centos6.6系统及gurb修复系统

   安装光盘修复centos6.6系统及gurb修复系统 方法一: 1.将系统光盘或者U盘连接电脑,开机启动,选择第三项(Rescue installed system) 2.选择英语 OK 3.输入键盘 ...

5. u盘修复linux系统,360u盘修复工具官方版u盘pe安装linux系统

   电脑配件质量不佳或损坏,是引起显示器黑屏故障的主要成因.如内存,显示卡,主板.CPU等出现问题肯定可能引起黑屏故障的出现.其故障表现为显示器灯呈橘黄色,此时可用替换法更换下显示卡,内存.CPU,主板等 ...

6. 深度linux系统反复重启,修复启动

   Contents 介绍 如果GRUB接管MBR,那么GRUB安装分为三部分: 第一部分(一般情况下)写在了MBR上 第二部分是将core.img嵌入到MBR之后的保留扇区部分 第三部分才是/boot/ ...

7. Linux系统修复网络,Linux系统无法上网解决方案教程

   人们使用电脑时候最不想看到的事情之一就是上不了网了,无论是工作还是玩游戏时候都很不爽.本篇文章主要介绍了详解Linux系统无法上网解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考.一起跟随 ...

8. linux系统软件修复,SystemRescueCd(Linux系统修复盘) V5.3.1 官方版

   SystemRescueCd 是一款可启动光盘Linux系统,拥有强大的功能,简单易操作,给用户带来很多的系统修复帮助和便利.它用于在崩溃后修复系统及数据.它的另一个目标是为在你的计算机上完成管理任务 ...

9. linux系统u盘修复,SystemRescueCd(Linux系统修复盘) v6.0.3 官方免费版

   SystemRescueCd是一款针对linux用户打造的系统急求盘,类似于我们在windows下使用的一些U盘启动盘,运行后操作一下就可以进行linux操作系统的修复等操作了,使用SystemRes ...

最新文章

1. 美国最大警用摄像头厂商对人脸识别说No，称其会带来严重偏见
2. 【shell】 初次接触shell编程，记录一下遇到的问题
3. 让小程序在自有App中启动的技术来了：mPaaS小程序架构深度解析
4. Counter 用法 from collections import Counter
5. php 上传word文件 源码,THINKPHP中word文档的上传与下载
6. ORACLE 随机数 dbms_random
7. vb6引用vbRichClient5 下载对象 cDownloads 简单示例
8. pdf、epub、awz3、mobi电子书下载网站推荐！
9. EdgeGallery — MEP — APIs
10. 运维服务级别管理流程
11. 上线切换 - 如何导入在制品
12. Node 的单元测试--jasmine
13. 雷电模拟器忘记锁屏密码
14. Elastic：配置 Elasticsearch 服务器 logs
15. crt远程连接linux目录的颜色不显示,SecureCRT连接linux设置vim显示颜色
16. [LeetCode] 157. Read N Characters Given Read4
17. 05_CSS 盒模型
18. TinyOS平台下一些代码的分析
19. 关于微信小程序开发个人总结
20. C++之命令(Command)模式

热门文章

1. NETDMIS5.0手动测量2023
2. 2022-2027年中国网络文学商业化市场竞争态势及行业投资前景预测报告
3. 最老程序员创业札记：全文检索、数据挖掘、推荐引擎应用3
4. html+css制作3D旋转正方体特效
5. oracle ogg巡检,述说OGG检查点
6. 不知名菜鸟的day14
7. 6个座位办公室最佳位置_办公室座位风水
8. 《深度学习进阶 自然语言处理》第五章：RNN通俗介绍
9. C#+AE地图文档的相关操作，包括新建打开保存等
10. blackberry 下载地址