關於ssl poodle漏洞
poodle = padding oracle on downgraded legacy encryption.是最新安全漏洞(cve-2014-3566)的代號,俗稱「貴賓犬」漏洞。 此漏洞是針對ssl3.0中cbc模式加密演算法的一種padding oracle攻擊,可以讓攻擊者獲取ssl通訊中的部分資訊明文,如果將明文中的重要部分獲取了,比如cookie,session,則資訊的安全出現了隱患。
從本質上說,這是ssl設計上的缺陷,ssl先認證再加密是不安全的。
修復措施:
禁用sslv3協議
不同的web server不盡相同。這邊列舉主流的伺服器的禁用方式
nginx伺服器:
注意:nginx和openssl套件版本過低可能會導致無法啟用新型加密套件和演算法,請公升級最新版本。
(openssl1.0.1+版本支援tls1.1和tls1.2協議)
ssl_protocols
tlsv1
tlsv1.1
tlsv1.2;
ssl_ciphers
aesgcm:all:!
dh:!
export:!
rc4:+high:!
medium:!
low:!
anull:!
enull;
複製**
apache伺服器:
注意:apache和openssl套件版本過低可能會導致無法啟用新型加密套件和演算法,請公升級最新版本。
(openssl1.0.1+版本支援tls1.1和tls1.2協議)
apache2.x版本:
sslprotocol
all -sslv2 -sslv3
sslciphersuite
aesgcm:all:!
dh:!
export:!
rc4:+high:!
medium:!
low:!
anull:!
enull
tomcat伺服器:
jdk版本過低也會帶來不安全漏洞,請公升級jdk為最新版本。公升級jdk風險請安按照系統公升級風險酌情考慮。
(先備份再配置,低版本的配置後有啟動不了的風險,請公升級tomcat和jdk版本,jdk1.7及以上支援tls1.2協議)
keystorepass="證書密碼"
keystorepass="證書密碼"
clientauth="false"
sslenabledprotocols="tlsv1,tlsv1.1,tlsv1.2"
ciphers="tls_rsa_with_aes_128_cbc_sha,
tls_ecdhe_rsa_with_aes_128_cbc_sha,
tls_rsa_with_aes_128_cbc_sha256,
tls_ecdhe_rsa_with_aes_128_cbc_sha256,
tls_rsa_with_3des_ede_cbc_sha,
tls_ecdhe_rsa_with_3des_ede_cbc_sha" />
使用apr的tomcat(windows環境路徑請使用「\」)
備註:windows server 2003不支援tls1.1和1.2請公升級至2008 r2或2012
根據圖示進行選擇,修改完成後重啟伺服器。
伺服器常見的安全漏洞有哪些
伺服器主機租用已經不是什麼稀罕的事情了,隨著這些年經濟的進步,也有著非常大的提高,租用伺服器常見的安全漏洞有哪些呢?這個是在主機租用的過程中必須注意的地方,下面跟隨颶風科技挽風一起來了解下吧 由於伺服器往往都放在乙個特定的空間中,若對於伺服器的任何維護工作,如檢視伺服器的硬碟空間等等,這些工作都需要...
Web伺服器常見8種安全漏洞
物理路徑洩露 物理路徑洩露一般是由於web伺服器處理使用者請求出錯導致的,如通過提交乙個超長的請求,或者是某個精心構造的特殊請求,或是請求乙個web伺服器上不存在的檔案。這些請求都有乙個共同特點,那就是被請求的檔案肯定屬於cgi指令碼,而不是靜態html頁 面。目錄遍歷 目錄遍歷對於web伺服器來說...
阿里雲ECS伺服器Centos安全漏洞修復
今天收到了阿里雲的簡訊,說是我的一台ecs有系統漏洞,嚇得我趕緊去看了一下。漏洞詳情如下 軟體 3.10 0 327.36 3.el7 命中 kernel version less than 0 3.10 0 693.el7 路徑 boot vmlinuz 3.10 0 327.36 3.el7.x...