【漏洞修复】 CVE Linux 系统应用漏洞修复笔记
这里写自定义目录标题
- 说明
- SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
- 漏洞信息
- 解决办法
- 验证方法
- 修复步骤
- 说明
- 查询当前使用的openssl版本号
- 下载并安装新版本的openssl
- 替换nginx中使用的openssl到最新版
说明
此文章主要记录工作中遇到的漏洞以及修复过程。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
漏洞信息
名称 | SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】【可验证】 |
---|---|
详细描述 | TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 |
危险程度说明 | 攻击者可以远程执行任意命令或者代码,或对系统进行远程拒绝服务攻击。 |
发现日期 | 2016-08-31 |
CVE编号 | CVE-2016-2183 |
CNVD编号 | CNVD-2016-06765 |
CNNVD编号 | CNNVD-201608-448 |
CNCVE编号 | CNCVE-20162183 |
解决办法
建议:避免使用IDEA、DES和3DES算法
- OpenSSL Security Advisory [22 Sep 2016]
链接:https://www.openssl.org/news/secadv/20160922.txt
请在下列网页下载最新版本:
https://www.openssl.org/source/ - 对于nginx、apache、lighttpd等服务器禁止使用DES加密算法
主要是修改conf文件 - Windows系统可以参考如下链接:
https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016
https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel
验证方法
根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在
修复步骤
说明
原本我的nginx中使用的openssl 版本号为:1.0.2s
升级后的openssl 版本号为:1.1.1K
查询当前使用的openssl版本号
使用命令查询当前版本号
openssl version
下载并安装新版本的openssl
进入到 /usr/local 目录,使用以下命令下载最新版的安装包到此目录下。
wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz --no-check-certificate
解压安装包
tar xvf openssl-1.1.1k.tar.gz
进入解压出来的文件夹
cd /usr/local/openssl-1.1.1k/
编译安装
./config && make && make install
echo "/usr/local/lib64/" >> /etc/ld.so.conf
ldconfig
将旧的备份
mv /usr/bin/openssl /usr/bin/openssl.old
创建文件软连接
ln -sv /usr/local/bin/openssl /usr/bin/openss
结束后在此查询openssl的版本号,验证是否升级成功
替换nginx中使用的openssl到最新版
进入nginx的安装目录下的sbin下,运行命令查看详细信息
./nginx -V
并从详细信息的onfigure arguments中获取到旧版本的详细配置参数,我的参数如下:
--prefix=/usr/local/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.0.2s
找到nginx的 configure 文件。以下是我的nginx目录结构.configure 文件在 nginx-1.23.2 中,cd nginx-1.23.2 进入此文件夹。
使用以下命令重新编译nginx.
# 注意:
# --prefix 之后的配置内容和旧版的一致。但是 --with-openssl 部分必须改成新的版本号。./configure --prefix=/usr/local/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.1.1k && make && make install
等待编译完成。
完成后,关闭原来运行着的nginx
pkill -9 nginx
进入安装路径下的sbin 目录下启动nginx
./nginx
启动完成后查看nginx的版本信息,验证nginx的openssl版本号是否已经升级成功。
将以下的内容替换 nginx 的443配置中的 ssl_ciphers 内容,禁用指定算法
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE:!IDEA:!DES;
进入安装路径下的sbin 目录下重新加载nginx配置
./nginx -s reload
【漏洞修复】 CVE Linux 系统应用漏洞修复笔记相关推荐
- Linux命令修复方法,Linux系统MBR的修复方法
MBR boot loader介绍 MBR是硬盘中第一个扇区的前512个字节,称为main boot record,512字节中的前446个字节为boot loader 所在部分,boot loade ...
- 最好用的Linux系统磁盘数据修复工具合集!
磁盘是计算机技术中非常常见的概念,它是计算机主要的存储介质,可以存储大量的二进制数据,并且断电后也能保持数据不丢失.但在日常工作中,我们经常会遇到不小心误删数据的情况,因此就需要进行数据恢复,那么Li ...
- Linux系统bash漏洞
Linux系统bash漏洞 前言 一.漏洞介绍 二.实验过程 总结 前言 bash,全称为Bourne-AgainShell,是控制Linux计算机命令提示符的软件.2014年被发现其存在严重的安全漏 ...
- centos光盘修复引导_安装光盘修复centos6.6系统及gurb修复系统
安装光盘修复centos6.6系统及gurb修复系统 方法一: 1.将系统光盘或者U盘连接电脑,开机启动,选择第三项(Rescue installed system) 2.选择英语 OK 3.输入键盘 ...
- u盘修复linux系统,360u盘修复工具官方版u盘pe安装linux系统
电脑配件质量不佳或损坏,是引起显示器黑屏故障的主要成因.如内存,显示卡,主板.CPU等出现问题肯定可能引起黑屏故障的出现.其故障表现为显示器灯呈橘黄色,此时可用替换法更换下显示卡,内存.CPU,主板等 ...
- 深度linux系统反复重启,修复启动
Contents 介绍 如果GRUB接管MBR,那么GRUB安装分为三部分: 第一部分(一般情况下)写在了MBR上 第二部分是将core.img嵌入到MBR之后的保留扇区部分 第三部分才是/boot/ ...
- Linux系统修复网络,Linux系统无法上网解决方案教程
人们使用电脑时候最不想看到的事情之一就是上不了网了,无论是工作还是玩游戏时候都很不爽.本篇文章主要介绍了详解Linux系统无法上网解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考.一起跟随 ...
- linux系统软件修复,SystemRescueCd(Linux系统修复盘) V5.3.1 官方版
SystemRescueCd 是一款可启动光盘Linux系统,拥有强大的功能,简单易操作,给用户带来很多的系统修复帮助和便利.它用于在崩溃后修复系统及数据.它的另一个目标是为在你的计算机上完成管理任务 ...
- linux系统u盘修复,SystemRescueCd(Linux系统修复盘) v6.0.3 官方免费版
SystemRescueCd是一款针对linux用户打造的系统急求盘,类似于我们在windows下使用的一些U盘启动盘,运行后操作一下就可以进行linux操作系统的修复等操作了,使用SystemRes ...
最新文章
- 美国最大警用摄像头厂商对人脸识别说No,称其会带来严重偏见
- 【shell】 初次接触shell编程,记录一下遇到的问题
- 让小程序在自有App中启动的技术来了:mPaaS小程序架构深度解析
- Counter 用法 from collections import Counter
- php 上传word文件 源码,THINKPHP中word文档的上传与下载
- ORACLE 随机数 dbms_random
- vb6引用vbRichClient5 下载对象 cDownloads 简单示例
- pdf、epub、awz3、mobi电子书下载网站推荐!
- EdgeGallery — MEP — APIs
- 运维服务级别管理流程
- 上线切换 - 如何导入在制品
- Node 的单元测试--jasmine
- 雷电模拟器忘记锁屏密码
- Elastic:配置 Elasticsearch 服务器 logs
- crt远程连接linux目录的颜色不显示,SecureCRT连接linux设置vim显示颜色
- [LeetCode] 157. Read N Characters Given Read4
- 05_CSS 盒模型
- TinyOS平台下一些代码的分析
- 关于微信小程序开发个人总结
- C++之命令(Command)模式