最近用綠盟掃瞄系統進行內網網系統掃瞄,有幾台裝置被掃出了ssl相關漏洞,在此做乙個簡短的加固方法。
本次涉及漏洞
1.漏洞名稱:ssl 3.0 poodle攻擊資訊洩露漏洞(cve-2014-3566)【原理掃瞄】
2.ssl/tls 受誡禮(bar-mitzvah)攻擊漏洞(cve-2015-2808)【原理掃瞄】
知識普及1:ssl協議要點
ssl(secure sockets layer 安全套接層)是一種基於web應用的安全通訊協議,最早由netscape(網景)公司提出。ssl介於tcp協議和應用層協議之間,主要作用就是將http、ftp等應用層的資料進行加密然後依託可靠的tcp協議在網際網路上傳輸到目的地,其中最典型的應用就是https。
ssl提供3個基本的安全服務:
1)身份合法性:資料傳送方和接收方要確認彼此身份,要確保各自的身份不會被冒充。
2)資料機密性:所有傳輸的資料都進行加密,並且要確保即使資料被截獲也無法破解。
3)資料完整性:確保收到的資料與傳送方發出的資料一致,沒有被篡改。
ssl協議主要採用的資料加密演算法:
1)非對稱加密演算法:資料加密和解密使用不同的金鑰,如rsa公鑰加密演算法。優點是安全級別高,很難被破解;缺點是加密解密的速度慢,因此只適用於小量資料的加密。ssl協議採用非對稱加密演算法實現數字簽名,驗證資料傳送方(或接收方)的身份,同時也用非對稱加密演算法交換金鑰(用於資料加密的對稱加密演算法的金鑰,以及用於資料完整性驗證的mac演算法)。
2)對稱加密演算法:資料加密和解密使用同乙個金鑰,如des、3des、rc4等都是對稱加密演算法。優點是加解密速度快,適用於大資料量的加密,但安全性較差。ssl協議採用對稱加密演算法對傳輸的資料進行加密。
3)mac演算法:message authentication codes,即訊息認證碼演算法,mac含有金鑰雜湊函式演算法,相容了md和sha演算法的特性,並在此基礎上加入了金鑰。ssl協議採用mac演算法來檢驗訊息的完整性。
知識普及2:ssl協議的版本
目前在用的ssl協議主要有5個版本,分別是ssl2.0、ssl3.0、tls1.0、tls1.1和tls1.2,這裡的tls(transport layer security,傳輸層安全)協議是ssl協議的公升級版。
1.漏洞名稱:ssl 3.0 poodle攻擊資訊洩露漏洞(cve-2014-3566)【原理掃瞄】
涉及裝置漏洞服務
此次裝置受此漏洞波及影響主要是因為上述系統部署了tomcat
的https服務,而tomcat https服務預設情況下支援ssl
3.0協議(目前在用的ssl協議主要有5個版本,分別是ssl2.0、ssl3.0、tls1.0、tls1.1和tls1.2.ssl3.0是已過時且不安全的協議,目前已被tls
1.0,tls 1.1,tls 1.2替代)
漏洞描述和利用
ssl3.0是已過時且不安全的協議,目前已被tls 1.0,tls 1.1,tls 1.2替代,因為相容性原因,大多數的tls實現依然相容ssl3.0。
為了通用性的考慮,目前多數瀏覽器版本都支援ssl3.0,tls協議的握手階段包含了版本協商步驟,一般來說,客戶端和伺服器端的最新的協議版本將會被使用。其在與伺服器端的握手階段進行版本協商的時候,首先提供其所支援協議的最新版本,若該握手失敗,則嘗試以較舊的協議版本協商。能夠實施中間人攻擊的攻擊者通過使受影響版本瀏覽器與伺服器端使用較新協議的協商的連線失敗,可以成功實現降級攻擊,從而使得客戶端與伺服器端使用不安全的ssl3.0進行通訊,此時,由於ssl
3.0使用的cbc塊加密的實現存在漏洞,攻擊者可以成功破解ssl連線的加密資訊,比如獲取使用者cookie資料。這種攻擊被稱為poodle攻擊(padding
oracle on downgraded legacy
encryption)。此漏洞影響絕大多數ssl伺服器和客戶端,影響範圍廣泛。但攻擊者如要利用成功,需要能夠控制客戶端和伺服器之間的資料(執行中間人攻擊)。
漏洞處理方法
修改tomcat server.xml 在下面加入 sslenabledprotocols="tlsv1,tlsv1.1,tlsv1.2" 來關閉ssl v3
2.ssl/tls 受誡禮(bar-mitzvah)攻擊漏洞(cve-2015-2808)【原理掃瞄】
涉及裝置漏洞服務
此次裝置受此漏洞波及影響主要是因為上述系統部署了tomcat 的https服務,web容器開啟了ssl/tls訪問方式,並未遮蔽rc4這種存在已被有效破解的加密演算法導致。
漏洞描述和利用
ssl/tls協議是乙個被廣泛使用的加密協議,bar mitzvah攻擊實際上是利用了"不變性漏洞",這是rc4演算法中的乙個缺陷,它能夠在某些情況下洩露ssl/tls加密流量中的密文,從而將賬戶使用者名稱密碼,信用卡資料和其他敏感資訊洩露給黑客。
漏洞處理方法
修改tomcat server.xml 在下面加入標紅的串值
本地檢測此漏洞是否處理方法
如果能夠檢視到證書資訊,那麼就是存在風險漏洞
如果顯示sslv3 alerthandshake failure,表示該伺服器沒有這個漏洞
存在漏洞的情況截圖
CFHTTP使用SSL很慢的解決方法
使用銀行的api的時候,cfhttp很慢。乙個transaction要20到30秒才能完成,這個對收錢來當然是不能接受的。後來經過分析,發現了其中的問題所在。cfhttp慢的原因 原來是預設使用了 服務。這個可能是同型別問題的主要原因。當使用cfhttp的時候,伺服器就會到處找proxy serve...
Dom XSS 漏洞實戰分析及解決方法
國慶的前一天,突然有乙個漏洞單接到我這裡來,當時心裡很著急,第一實習生小白,對於我們這種支付部門有漏洞不是很可怕,以前沒見過,覺得有點嚇人。第二,為什麼是國慶的前一天呢,不能發版本。看了下,就是熟悉又不太熟悉的 dom xss 漏洞。熟悉是因為以前書裡經常見,不熟悉是因為以前沒有實踐過。現象及解決辦...
OpenSSH相關漏洞解決
本文主要針對綠盟對linux伺服器掃出openssh相關漏洞總結出的解決方案,漏洞更新時間為2014年重要漏洞,本文將伺服器更新至openssh 6.6p1版本,可解決2014之前的openssh重要漏洞,幫助通過驗收。openssh 6.6p1具體更新步驟 1 修改設定檔案 etc xinetd....