服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录

根据漏洞扫描反馈的结果,发现存在“服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)”漏洞,端口为443


查看端口443端口对应的PID,并找出对应的服务,最后发现433端口的服务是VM

netstat -anp|findstr "443"
wmic process get name,executablepath,processid|findstr pid #根据PID查找服务路径

根据网上查找资料,找到的解决方法为:VMware->编辑->首选项->共享虚拟机->禁止共享

其他解决方案
Apache解决办法:
升级到Apache 2.2.15以后版本
IIS解决办法:
IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。
Lighttpd解决办法:
建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = “enable”。
http://download.lighttpd.net/lighttpd/releases-1.4.x/
Nginx解决办法:
0.7.x升级到nginx 0.7.64
0.8.x升级到 0.8.23 以及更高版本。
http://nginx.org/en/download.html
Tomcat解决办法:
1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配
置:

2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。
参考链接:
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html
http://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcat
https://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison
Squid解决办法:
升级到3.5.24以及以后版本
http://www.squid-cache.org/Versions/
缓解或者修复建议:
1、建议关闭重协商,举例:ssl renegotiation disable
2、无法禁用重新协商策略的建议:
a)则仅允许安全重新协商并限制SSL握手的次数,或者通过添加SSL加速器之类的产品
来升级服务器资源。不支持不安全的重新协商
b)请限制SSL握手的次数,或者通过添加SSL加速器之类的产品来升级服务器资源。
c)增加防火墙规则,限制端口访问等策略
d)使用iptable规则,限制每个ip地址的请求数
如果扫描器跟目标机之间存在WAF,请优先检查WAF配置。

服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录相关推荐

  1. RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)

    环境信息 rocketmq:4.8.0 docker镜像 foxiswho/rocketmq:4.8.0 安全漏洞 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011- ...

  2. 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473复现验证)

    楼主这里用的是第三种方法 一.使用bash脚本(tls-reneg )可验证 https://github.com/c826/bash-tls-reneg-attack 漏洞不存在-验证步骤 chmo ...

  3. TLS Client-initiated 重协商攻击(CVE-2011-1473)漏洞验证测试

    目录 1.前言 2.TLS Client-initiated重协商漏洞概述 3.漏洞验证 4.漏洞修复 4.1 缓解措施

  4. 重协商攻击(CVE-2011-1473) 漏洞处理

    后来试过其实还是不太行,最终通过升级rocketmq版本来处理. 1. name server和broker都需要修改:进入 /home/rocketmq/rocketmq-4.7.0/bin,修改 ...

  5. SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】

    netstat -apn | grep 41148 ps -ef | grep 2376 netstat -apn | grep 41148 二.Linux 1.查询8080端口是否被占用,并可以查看 ...

  6. linux源码编译安装apache( httpd-2.4.53)处理服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)

    linux源码编译安装apache 首先我们需要下载相关的依赖包 apr.apr-util.pcre 下载地址 http://archive.apache.org/dist/apr/apr-1.7.0 ...

  7. SSL/TLS攻击介绍--重协商漏洞攻击

    一.概述 最近几年曝出的高风险SSL/TLS安全漏洞大多跟SSL实现库相关,比如2011年曝出的SSL/TLS默认重协商漏洞,可导致DOS攻击, 比如2014年4月曝出的"心脏滴血" ...

  8. 服务器不支持 tls 重新协商修正,OpenSSL安全重新协商失败

    为了更详细地了解这个问题,这里有一些相关的信息: The official description: TLS协议,SSL协议3.0以及可能更早的版本,如Microsoft Internet Infor ...

  9. 检测服务器是否开启重协商功能(用于CVE-2011-1473漏洞检测)

    背景 由于服务器端的重新密钥协商的开销至少是客户端的10倍,因此攻击者可利用这个过程向服务器发起拒绝服务攻击.OpenSSL 1.0.2及以前版本受影响. 方法 使用OpenSSL(linux系统基本 ...

最新文章

  1. 机器学习进阶-图像形态学操作-腐蚀操作 1.cv2.erode(进行腐蚀操作)
  2. BAT看上了产业互联网
  3. 优化Linux系统中的服务
  4. 人人商城v2获取头像出错多出132132
  5. PowerDesigner 正向工程 和 逆向工程 说明
  6. 微型计算机使用的普通编码是,2017计算机一级考试选择题练习及答案(2)
  7. 【UVA - 10891 Game of Sum 】【HRBUST - 1622】 Alice and Bob (区间dp,博弈问题)
  8. java代码使用Pair元组-运行可以-编译失败
  9. python保存mat文件_python读取文件——python读取和保存mat文件
  10. 今天是有纪念意义的一天--中国13亿人口日
  11. iOS开发中常用的宏
  12. c语言函数怎么返回,C语言函数的返回值应该怎么返回
  13. 急救: Autodesk MapGuide Studio - Preview在MapGuide Open Source环境不能进行中文标注
  14. 新一届亚马逊研究奖公布!陈怡然、陈丹琦、杨笛一、吴佳俊等华人学者入选
  15. 福禄克网络VERSIV(威测)电缆认证系统实现ROI更大化
  16. python实现图片找不同游戏_用Python实现QQ游戏大家来找茬辅助工具
  17. TortoiseGit(乌龟)------安装教程
  18. 能力素质有所欠缺_除了岗位培训,能力的培训也十分关键
  19. 笨方法学Python(二)
  20. 关于Python和自动化

热门文章

  1. Windows10系统 ADMUI3无法删除
  2. 贪心算法基础之活动时间安排(一)安排 51nod 贪心教程
  3. H5+css+js前端特效源代码:发光动画按钮:上传按钮
  4. 苹果cms影视建站系统免费吗?
  5. Android调用C++实现共享内存(Native层)
  6. 企业网站制作多少钱、企业网站需要多少钱、建立网站需要花多少钱
  7. OCP 11G 051题库解析汇总链接
  8. 内核下断链隐藏进程(兼容多版本Windows系统,非硬编码)
  9. git出现 [rejected]master -> master (non-fast-forward)问题怎么解决
  10. [FROM LUOGU]排兵布阵