SSH服务器CBC加密模式漏洞(CVE-2008-5161)
一、漏洞描述
ssh服务器配置为支持密码块链接(cbc)加密。这可能允许攻击者从密文中恢复明文消息。注意,这个插件只检查ssh服务器的选项,不检查易受攻击的软件版本。
CBC(Cipher-block chaining,密码分组链接模式),它具备依赖性,加密过程是串行的,无法被并行化,但是解密可以并行化,因为一个密文会影响到该明文与后一个明文,不会对其他明文产生影响。消息必须是块大小的整数倍,不够需要填充。但无法直接从密文中看出明文信息块的规律,所以安全性比较好。另因密文块依赖于所有的信息块,加密时,若明文块有一个消息改变则影响所有密文块。
一般经过我们的加固,Linux环境中一般都已经采用AES这种算法加密,AES有五种加密模式(CBC、ECB、CTR、OCF、CFB),centos7.x系统启动sshd服务后,系统默认选择CBC的机密模式,在对安全要求比较高的生产环境中,一般是不允许CBC加密的,我们需要将CBC的加密方式修改为CTR或者GCM。
风险级别:低
修复建议:禁用CBC模式密码加密,并启用CTR或GCM密码模式加密。
二、处理过程
1)编辑ssh配置文件
man /etc/ssh/sshd_config //查看当前支持的加密算法/模式,多个加密算法之间使用逗号分隔ssh -Q cipher //查看你当前ssh使用的算法vim /etc/ssh/sshd_config#Ciphers and keying 注释该行Ciphers aes128-ctr,aes192-ctr,aes256-ctr //加密方式配置使用ctr#也可对指定项目指定,Ciphers 指定 ssh 使能的加密算法。当 Ciphers 的值以 + 字符开始时,指定的加密算法将附加到默认集合,不影响默认集合中的其它算法。当 Ciphers 的值以 ‘-’ 字符开始时,指定的加密算法将会从默认集合中移除,不影响默认集合中的其它项目。Ciphers -aes128-cbc,aes192-cbc,aec256-cbc,3des-cbc
Ciphers +aes128-ctr,aes192-ctr,aes256-ctr
完成后重启服务:
systemctl stop sshd.service
systemctl start sshd.service
2)验证
nmap --script “ssh2*” 目标ip //没有出现CBC,diffie-hellman-group1-sha1,diffie-hellman-group-exchange-sha1等弱加密算法则成功
SSH服务器CBC加密模式漏洞(CVE-2008-5161)相关推荐
- 国密sm4 CBC加密模式的使用方法(兼容IE11)
使用架构:vue,jquery 前端和后台加解密交互流程 前端随机生成16位随机数来用去前端的加解密 前端生成的16位随机数通过base16,utf-8转换生成32位的key,iv传递给后台来进行对称 ...
- CBC加密模式本身不能抵御重放攻击
一些文章书籍中讲到,ECB.CFB加密模式不能抵御重放攻击,举的例子是:用旧报文替换部分新报文达到欺骗接收者的目的.言外之意,似乎CBC模式可以抵御这种攻击.实际情况是不是这样呢?网上一通翻腾竟然 ...
- aes算法cbc模式c语言,AES算法及它的CBC加密模式
AES四種加密模式的區別: ECB(Electronic Code Book電子密碼本)模式 ECB模式是最早采用和最簡單的模式,它將加密的數據分成若干組,每組的大小跟加密密鑰長度相同,然后每組都用相 ...
- SSH服务器支持的算法漏洞
查看linux服务器上支持的(所有的)ssh对称秘钥: ssh -Q cipher 查看支持身份验证加密(启用的)的对称秘钥: ssh -Q cipher-auth 查看支持的消息完整性秘钥: ssh ...
- Win 2008 r2 安装SSH服务器
1.下载微软开源的openssh 下载最新的二进制版本: https://github.com/PowerShell/Win32-OpenSSH/releases 2.解压到C:\Program Fi ...
- java ecb加密_各加密模式的演示(ECB,CBC) .
对于较长的明文进行加密需要进行分块加密,但是直接加密(ecb)不容易隐藏模式,用OpenCV写了个程序论证了一下 ECB 优点就是简单,可以并行计算,不会迭代误差 缺点就是隐藏不了模式 CBC 需要初 ...
- 各加密模式的演示(ECB,CBC)
对于较长的明文进行加密需要进行分块加密,但是直接加密(ecb)不容易隐藏模式,用OpenCV写了个程序论证了一下 ECB 优点就是简单,可以并行计算,不会迭代误差 缺点就是隐藏不了模式 CBC 需要初 ...
- 用python实现DES加解密,并附带EBC和CBC两种分组加密模式
之前在网上看了好多关于DES加解密的文章,很多都是直接贴代码,然而大多数都不能运行.花了一天写了个能运行的程序,其中有参考网上的一些好的代码.希望入了密码学坑的同学能得到帮助.python刚上手,代码 ...
- span class=red[置顶]/span分组对称加密模式:ECB/CBC/CFB/OFB缺CTR- -
一般的加密通常都是块加密,如果要加密超过块大小的数据,就需要涉及填充和链加密模式,文中提到的ECB和CBC等就是指链加密模式.在C#组件中实现的很多算法和Java都不太兼容,至少我发现RSA和AES/ ...
最新文章
- 蠕虫mysql_警惕!MySQL蠕虫再度对Windows发动攻击
- 第 22 章 DDL - Data Definition Language
- python 做啥用-使用 Python 可以做什么?
- Entity Framework Core 2.0的突破性变更
- CVPR 2018 目标跟踪相关论文
- tomcat各目录(文件)作用
- Spark SQL 之SQLContext(二)
- Shell脚本自动备份数据库
- 使用conda创建环境以及出现包找不到解决方案
- 计算机网络——数据包抓取与分析
- dos盘启动计算机,u盘制作dos启动盘方法
- 如何设计可靠的灰度方案
- 数字营销卷得再狠,「阿琉克斯之踵」不能忽视
- RoaringBitMap学习和实践
- ARVR | 5大AR应用程序开发工具简介
- Sencha Cmd 优化 Sencha Ext JS/7.5.12
- unity鼠标固定在屏幕中间_unity3D技术之屏幕内跟随鼠标移动
- 用最通俗易懂的话告诉你交换机和路由器的区别
- 华为机试:计算最大乘积
- 腾讯推页游平台’”页游乐园”YY.QQ.com
热门文章
- 解决云服务器上go-cqhttp扫码登录QQ失败问题
- Chrome谷歌浏览器的快捷键:
- pythongui界面管理系统_Python实现GUI学生信息管理系统
- 数据库可视化工具 dbForge Studio for MySQL 快速入门以及进阶指导
- 完美解决eclipse中文注释错位、缩进、被放大BUG
- JAVA知识体系之JVM篇(新)
- NB-IOT与物联网
- mysql建立数据库并给定别名_MySQL数据库基本操作(四)
- 计算机里没有四款小游戏,电脑里一些隐藏在程序里有趣的小游戏
- 使用Fiddler/Charles+Jmeter进行接口自动化测试和接口性能测试(关联接口测试、接口自动化测试、脚本录制、软件测试、性能测试、测试工具)