【案例63】SSL RC4 加密套件支持检测 (Bar Mitzvah)修复方案

news2024/11/14 20:38:33

漏洞详情信息

漏洞名称

SSL RC4 加密套件支持检测 (Bar Mitzvah)

漏洞等级

漏洞描述

远程主机支持在一个或多个密码组中使用 RC4。
RC4 密码在伪随机字节流的生成中存在缺陷,导致引入了各种各样的小偏差,降低了其随机
性。
如果反复加密明文(例如 HTTP cookie),并且攻击者能够获得许多(即上千万)密文,则
该攻击者可能会推测出明文。

漏洞影响

攻击者可利用大量的密文推测明文,导致远程主机信息泄露。

漏洞修复方案

方案一(如果有Nginx或者Apache禁用RC4)

方案描述

如果可能,请重新配置受影响的应用程序以避免使用 RC4 密码。可以考虑在浏览器和 Web
服务器的支持下将 TLS 1.2 用于 AES-GCM 组。

修复流程

找到ssl 配置文件 > 禁用RC4 密码组 > 重启服务 > 检查是否禁用成功 > 完成

步骤1:找到ssl 配置文件

Apache 配置文件

vi /apache/conf/extra/httpd-ssl.conf

使用yum 源下载的则:vi /etc/httpd/conf.d/ssl.conf

Nginx 配置文件

vi /etc/nginx/nginx.conf

其他服务器以实际情况为准。

步骤2 禁用RC4 密码组

找到SSL 密码组配置,Apache 中为:SSLCipherSuite、Nginx 中为:ssl_ciphers
如果配置中存在:RC4 密码组,如图

将其改为:!RC4,如果不存在,新增即可。

 步骤3 重启服务 

### 如果做成了服务
Apache:systemctl restart httpd
Nginx:systemctl restart nginx

### 如果非服务模式

Apache:/apache/bin/httpd -s restart
Nginx:/nginx/sbin/nginx -s restart

 步骤4 检查是否禁用成功

openssl s_client -connect IP 地址:443 -cipher RC4

如图表示已禁用成功 

方案二 Windows(无Apache、Nginx) 

操作前提Windows2008R2 必须先安装补丁kb4103712

https://catalog.s.download.windowsupdate.com/c/msdownload/update/software/secu/2018/04/windows6.1-
kb4103712-x64_44bc3455369066d70f52da47c30ca765f511cf68.msu

Windows2012R2必须先安装以下补丁:KB2919355

https://www.microsoft.com/zh-CN/download/details.aspx?id=42334
KB4103715
http://download.windowsupdate.com/c/msdownload/update/software/secu/2018/04/windows8.1-kb4103715-
x64_43bebfcb5be43876fb6a13a4eb840174ecb1790c.msu

Windows2016必须先安装以下补丁:KB4103723

https://catalog.s.download.windowsupdate.com/d/msdownload/update/software/secu/2018/05/windows10.0-
kb4103723-x64_delta_9c58708904a7320f572dd37c484ca0a6d58ffbb7.msu

修复流程

步骤1 打开本地组策略编辑器 

按下Win+R,输入 gpedit.msc 进入到本地组策略编辑器

步骤2 打开SSL 配置设置

依次打开:计算机配置 —> 管理模板 —> 网络 —> SSL 配置设置

步骤3 修改SSL 密码套件顺序置

双击 SSL 密码套件顺序,选择“已启用”,SSL 密码套件中输入如下内容:

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AE
S_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_
ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256
_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_C
BC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WIT
H_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS
_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC
_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA
_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P
384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_
AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS
_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,T
LS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AE
S_128_CBC_SHA

 

步骤4 重启操作系统 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2081409.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【北森-注册安全分析报告-无验证方式导致安全隐患】

前言 由于网站注册入口容易被黑客攻击,存在如下安全问题: 1. 暴力破解密码,造成用户信息泄露 2. 短信盗刷的安全问题,影响业务及导致用户投诉 3. 带来经济损失,尤其是后付费客户,风险巨大,造…

八款主流图纸加密软件强力推荐|2024年图纸加密软件最佳选择!

在当今数字化设计的世界中,保护企业的图纸和设计文件至关重要。无论是建筑图纸、机械设计还是电子电路图,这些宝贵的知识产权都需要被妥善保护,以防止未经授权的访问和数据泄露。本文将为您推荐2024年最值得选择的八款主流图纸加密软件&#…

1. Redis 相关背景

文章目录 一 . 初识 Redis二 . 浅谈分布式系统2.1 单机架构2.2 分布式2.3 服务分离和负载策略2.4 数据库读写分离2.5 引入缓存2.6 数据库的分库分表2.7 引入微服务2.8 其他概念 三 . Redis 的特性四 . Redis 的应用场景4.1 Redis 能做的事4.2 Redis 不能做的事 Hello , 大家好 …

第二证券:A股公司中期分红踊跃 红利资产获机构关注

A股公司2024年半年报正在密布宣布,上市公司中期分红计划备受商场重视。据统计,到8月26日,有中期分红计划的A股公司近370家,创下前史新高。业内人士称,得益于政策层面的生动引导,上市公司分红“大军”敏捷扩…

随笔七、开启gst-rtsp-server服务及推流测试

目录 1. 环境 2. 启用gst-rtsp-server服务 3. 交叉编译测试程序examples 4. 推流测试 1. 环境 泰山派RK3566开发板的SDK使用了GStreamer媒体编解码框架,其扩展能力应该是优于ffmpeg,因此目前不考虑移植ffmpeg。要实现摄像头推流,还需要流…

MySQL的半同步模式

MySQL 的半同步复制 MySQL 的半同步复制(Semi-Synchronous Replication, SSR)是一种增强的复制机制,旨在减少主服务器(Master)发生故障时的数据丢失风险,并在一定程度上提高复制的可靠性。半同步复制结合了…

零基础5分钟上手亚马逊云科技-高可用负载均衡器

简介: 欢迎来到小李哥全新亚马逊云科技AWS云计算知识学习系列,适用于任何无云计算或者亚马逊云科技技术背景的开发者,通过这篇文章大家零基础5分钟就能完全学会亚马逊云科技一个经典的服务开发架构方案。 我会每天介绍一个基于亚马逊云科技…

怎么将文档翻译成英语?5个方法一键将文档翻译成所需语言

夏日的尾声,处暑的凉风轻轻拂过,不仅带来了季节的更迭,也悄然拉开了国际交流的新序幕。 那份精心雕琢的处暑宣传文案,字字珠玑,情感饱满。但别急,想要这份佳作跨越语言的长河,触及更广阔的国际…

中资优配:信用债市场遭遇卖盘压力

近期,诺言债遭受卖盘压力,连跌多日,引发商场关注。 近两日,诺言债商场出现回调,工业债、城投债与二级本钱债价格均出现跌落。到8月27日收盘,“24兴业银行二级本钱债01”上行7.5个基点至2.355%,…

佰朔资本:股指预计保持震荡格局 关注化学制药、石油化工等板块

2024年1—7月规上工业企业赢利平稳增加,较前值略有上升。工业企业赢利能否企稳的要害在于有用需求,其时以价换量特征依然显着,供应快于需求使得工业企业库存继续被动冲高。在内需方面,大规模设备更新、消费品以旧换新政策有助于继…

uboot环境变量擦除之烧录工具擦除flash mtd0分区

有时会uboot环境变量修改了没有生效,需要擦除整个mtd分区 Erasing at 0x100000 – 100% complete. (1M) uboot给flash的中分区

正方体挖出几小块后的体积

如图,有一个边长为20厘米的大正方体,分别在它的角上、棱上、面上各挖掉一个大小相同的小立方体后,表面积变为2454平方厘米,那么挖掉的小立方体的边长是多少厘米?() A 2 B 2.5 C 3【正确答案】 D 3.5 这道题和上一期《立体空间想象…

算法学习-基础数据结构

基础数据结构 一.栈 1.普通栈 套路:从前往后遍历 需要考虑相邻元素 有消除操作 栈。 2.单调栈 二.队列 1.普通队列 2.优先队列 三.Trie 使用场景:可以求某个字符串在众多字符串中出现的次数,以某个字符串为前缀出现的次数 Trie中…

设计一个最小栈

问题 请你设计一个 最小栈 。它提供 push ,pop ,top 操作,并能在常数时间内检索到最小元素的栈。 实现 MinStack 类: MinStack() 初始化堆栈对象。void push(int val) 将元素val推入堆栈。void pop() 删除堆栈顶部的元素。int top() 获取堆…

昂科烧录器支持MindMotion灵动微电子的微控制器MM32F5333D7P

芯片烧录行业领导者-昂科技术近日发布最新的烧录软件更新及新增支持的芯片型号列表,其中MindMotion灵动微电子的32位微控制器MM32F5333D7P已经被昂科的通用烧录平台AP8000所支持。 MM32F5333D7P微控制器搭载了由安谋科技授权的Armv8-M架构“星辰”STAR-MC1处理器&a…

Redux的中间件原理分析

Redux的中间件原理分析 redux的中间件对于使用过redux的各位都不会感到陌生,通过应用上我们需要的所有要应用在redux流程上的中间件,我们可以加强dispatch的功能。最近抽了点时间把之前整理分析过的中间件有关的东西放在这里分享分享。本文只对中间件涉…

在线客服系统源码 完全开源可二开 带完整的安装代码包以及搭建部署教程

系统概述 在线客服系统是一种基于互联网技术的客户服务解决方案,通过即时通讯工具,如文本聊天、语音通话、视频交流等方式,实现企业与客户之间的实时互动。它打破了传统客服模式的时空限制,使客户能够在任何时间、任何地点获得快…

Java基础(4)- IDEA

目录 一、Module 1.创建module 2.关闭modue 3.导入module 4.src灰色 二、Package 1.创建package 2.删除package 3.package取名规范 三、类 1.创建类 2.快捷语法 3.HelloWorld 四、IDEA基本设置说明 1.字体 2.提示的快捷键 五、常用快捷键 一、Module 1.创建mod…

Python大数据之Hadoop学习——day05_hive基本操作

一.SQL,Hive和MapReduce的关系 用户在hive上编写sql语句,hive把sql语句转为mapreduce程序去执行 二.Hive的架构映射流程 三.MetaStore元数据管理三种模式 metastore服务配置有3种: 内嵌模式、本地模式、远程模式(推荐) 内嵌模式…

【一文读懂】基于Havenask向量检索+大模型,构建可靠的智能问答服务

Havenask是阿里巴巴智能引擎事业部自研的开源高性能搜索引擎,深度支持了包括淘宝、天猫、菜鸟、高德、饿了么在内的几乎整个阿里的搜索业务。本文针对性介绍了Havenask作为一款高性能的召回搜索引擎,应用在向量检索和LLM智能问答场景的解决方案和核心优势…