2849浏覽量

修複DES和Triple DES 信息洩露漏洞

來源: 時間:2021-05-21
漏洞詳細描述:

TLS(Transport Layer Security,安全傳輸層協議)是一(yī)套用于在兩個通信應用程序之間提供保密性和數據完整性的協議。SSH(全稱Secure Shell)是國際互聯網工(gōng)程任務組(IETF)的網絡小(xiǎo)組(Network Working Group)所制定的一(yī)套創建在應用層和傳輸層基礎上的安全協議。IPSec(全稱InternetProtocolSecurity)是國際互聯網工(gōng)程任務組(IETF)的IPSec小(xiǎo)組建立的一(yī)組IP安全協議集。DES和Triple DES都是加密算法。;TLS、SSH和IPSec協議和其它協議及産品中(zhōng)使用的DES和Triple DES密碼算法存在安全漏洞。


安全報告提供的修複建議:
目前廠商(shāng)已經發布了升級補丁以修複此安全問題,補丁獲取鏈接:https://www.openssl.org/blog/blog/2016/08/24/sweet32/

通過補丁進行修複顯然不現實,相關的證書(shū)已經生(shēng)成了。于是想通過禁用DES相關的内容來達到修複的目的。


檢查配置:

根據描述爲443端口暴露出來的,這個端口是服務器正常提供https服務的端口,使用nginx進行配置并提供服務。


其中(zhōng)關于nginx的ssl配置:

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";


發現裏面确實有關于DES的配置項,
删除掉上面的ECDHE-RSA-DES-CBC3-SHA EDH-RSA-DES-CBC3-SHA DES-CBC3-SHA的相關内容。保留!DES的選項。

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";


然後重新啓動nginx


驗證方法:
nmap -sV --script ssl-enum-ciphers -p 443 www.example.com 域名改爲你自己的域名即可。

聯系我(wǒ)們

一(yī)次需求提交或許正是成就一(yī)個出色産品的開(kāi)始。
歡迎填寫表格或發送合作郵件至: qczsky@126.com

大(dà)理青橙科技

電(diàn)話(huà):13988578755 13988578755

郵箱:qczsky@126.com

地址:大(dà)理市下(xià)關龍都春天10層