SSL/TLS协议信息泄露漏洞(CVE-2016-2183)和SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)-摩杜云开发者社区

SSL/TLS漏洞修复

应用环境：客户上架服务器漏扫后进行漏洞修复。

系统环境：centos7.9

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

升级openssl到最新版本，官方地址：https://www.openssl.org/source/，最新的稳定版本是1.1.1系列，且是TLS版本

查看目前最新版本

openssl-1.1.1u.tar.gz

查看当前openssl版本

[root@localhost home]# openssl version OpenSSL 1.0.2k-fips 26 Jan 2017

在目录cd /usr/local/下载安装包，解压安装包

cd /usr/local/

wget https://www.openssl.org/source/openssl-1.1.1u.tar.gz --no-check-certificate

tar -zxvf openssl-1.1.1u.tar.gz

先更新下环境依赖

yum install libaio ncurses gcc gcc-c++ cmake ncurses-devel wget pcre-devel zlib-devel openssl openssl-devel

备份

mv /usr/bin/openssl /usr/bin/openssl.bak

mv /usr/include/openssl /usr/include/openssl.bak

编译安装

cd /usr/local/openssl-1.1.1u/

./config --prefix=/usr/local/openssl

make && make install

编译报错：发现缺少依赖，见上文（先更新下环境依赖）

建立链接

ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl ln -s /usr/local/openssl/include/openssl /usr/include/openssl echo "/usr/local/openssl/lib" >> /etc/ld.so.conf ldconfig

查看更新后版本

[root@localhost openssl-1.1.1u]# openssl version OpenSSL 1.1.1u 30 May 2023

SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)

进入nginx的安装目录下的sbin下,运行名称查看使用的openssl版本

./nginx -V

如果版本不满足就重新编译安装nginx,进入nginx程序目录，指定更新后的openssl版本。

./configure --prefix=/home/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.1.1u

make && make install

重启nginx

./nginx -s reload

修改配置文件nginx.conf对应的ssl_ciphers参数

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE:!IDEA:!DES;

建议：避免使用RC4算法 1、禁止apache服务器使用RC4加密算法 vi /etc/httpd/conf.d/ssl.conf 修改为如下配置 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4 重启apache服务 2、关于lighttpd加密算法在配置文件lighttpd.conf中禁用RC4算法，例如： ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-S HA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE -RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AE S256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE- RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE- RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-R SA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA 256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:! eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

如果对您有所帮助请《点赞》、《收藏》、《转发》，您的支持是我持续更新的动力，有疑问请留言