安全漏洞 SSL/TLS 受诫礼(Bar-Mitzvah)攻击漏洞(CVE-2015-2808)

安全漏洞 11/07 阅读 17723 views次 人气 0
摘要:

SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞"。

RC4加密算法中的存在的一个缺陷,某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。


1、apache服务器解决方案

vi /etc/httpd/conf.d/ssl.conf 

修改为如下配置 

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4 

重启apache服务。


2、nginx服务器解决方案

1.0.5及以后版本,默认SSL密码算法是:HIGH:!aNULL:!MD5 

0.7.65、0.8.20及以后版本,默认SSL密码算法是:HIGH:!ADH:!MD5 

0.8.19版本,默认SSL密码算法是:ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM 

0.7.64、0.8.18及以前版本,默认SSL密码算法是:ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP 

低版本的nginx或没注释的可以直接修改域名下ssl相关配置为 :

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES 
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC 
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; 
ssl_prefer_server_ciphers on;

需要nginx重新加载服务。


3、lighttpd服务器解决方案

在配置文件lighttpd.conf中禁用RC4算法

ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

重启lighttpd 服务。 


4、tomcat服务器解决方案

参考地址:

https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html


5、浏览器手工屏蔽方案

Windows 用户: 

1)完全关闭 Chrome 浏览器和Mozilla Firefox浏览器 

2)复制一个平时打开 Chrome 浏览器(Mozilla Firefox浏览器)的快捷方式 

3)在新的快捷方式上右键点击,进入属性 

4)在「目标」后面的空格中字段的末尾输入以下命令 --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 

Mac OS X 用户: 

1)完全关闭 Chrome 浏览器 

2)找到本机自带的终端(Terminal) 

3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 

Linux 用户: 

1)完全关闭 Chrome 浏览器 

2)在终端中输入以下命令:google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007


评论

表情

分享到: