本帖最后由 wosign-support3 于 2018-11-16 16:49 编辑
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。 从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。 如何检测漏洞
修复措施: 禁用sslv3协议 不同的web server不尽相同。这边列举主流的服务器的禁用方式
Nginx服务器: 注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 (openssl1.0.1+版本支持TLS1.1和TLS1.2协议) - ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
- ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;
- ssl_prefer_server_ciphers on;
复制代码apache服务器: 注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 (openssl1.0.1+版本支持TLS1.1和TLS1.2协议)
apache2.X版本: - SSLProtocol all -SSLv2 -SSLv3
- SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL
- SSLHonorCipherOrder on
复制代码Tomcat服务器: JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。 (先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议) - <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"
- maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
- keystoreFile="keystore/domain.jks" keystorePass="证书密码"
- clientAuth="false" sslProtocol="TLS"
- ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,
- TLS_RSA_WITH_AES_128_CBC_SHA,
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
- TLS_RSA_WITH_AES_128_CBC_SHA256,
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
- SSL_RSA_WITH_3DES_EDE_CBC_SHA,
- TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />
复制代码使用apr的tomcat(windows环境路径请使用“\”,证书文件是for apache压缩包中的三个文件) - <Connector port="443" maxHttpHeaderSize="8192"
- maxThreads="150"
- protocol="org.apache.coyote.http11.Http11AprProtocol"
- enableLookups="false" disableUploadTimeout="true"
- acceptCount="100" scheme="https" secure="true"
- SSLEnabled="true"
- SSLProtocol="all -SSLv2 -SSLv3"
- SSLCertificateFile="conf/domian.com.crt"
- SSLCertificateKeyFile="conf/domian.com.key"
- SSLCertificateChainFile="conf/root_bundle.crt"
- SSLCipherSuite="ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL" />
复制代码
IIS服务器: 使用我们的套件工具,按照如下图进行修复。 下载地址: 备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012 根据图示进行选择,点击Best Practices,然后再点击Apply,完成后重启服务器。 对于其他平台的修复方式 可以参考其官方文档,或者联系我们。 |
共 14 个关于服务器SSL不安全漏洞修复方案的回复 最后回复于 2018-11-1 16:17