这里写自定义目录标题

  • 说明
  • SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
    • 漏洞信息
      • 解决办法
    • 验证方法
    • 修复步骤
      • 说明
      • 查询当前使用的openssl版本号
      • 下载并安装新版本的openssl
      • 替换nginx中使用的openssl到最新版

说明

此文章主要记录工作中遇到的漏洞以及修复过程。

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

漏洞信息

名称 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】【可验证】
详细描述 TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。
危险程度说明 攻击者可以远程执行任意命令或者代码,或对系统进行远程拒绝服务攻击。
发现日期 2016-08-31
CVE编号 CVE-2016-2183
CNVD编号 CNVD-2016-06765
CNNVD编号 CNNVD-201608-448
CNCVE编号 CNCVE-20162183

解决办法

建议:避免使用IDEA、DES和3DES算法

  1. OpenSSL Security Advisory [22 Sep 2016]
    链接:https://www.openssl.org/news/secadv/20160922.txt
    请在下列网页下载最新版本:
    https://www.openssl.org/source/
  2. 对于nginx、apache、lighttpd等服务器禁止使用DES加密算法
    主要是修改conf文件
  3. Windows系统可以参考如下链接:
    https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel

验证方法

根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在

修复步骤

说明

原本我的nginx中使用的openssl 版本号为:1.0.2s
升级后的openssl 版本号为:1.1.1K

查询当前使用的openssl版本号

使用命令查询当前版本号

openssl version

下载并安装新版本的openssl

进入到 /usr/local 目录,使用以下命令下载最新版的安装包到此目录下。

wget https://www.openssl.org/source/openssl-1.1.1k.tar.gz --no-check-certificate

解压安装包

tar xvf openssl-1.1.1k.tar.gz

进入解压出来的文件夹

 cd /usr/local/openssl-1.1.1k/

编译安装

./config && make && make install

echo "/usr/local/lib64/" >> /etc/ld.so.conf

ldconfig

将旧的备份

mv /usr/bin/openssl /usr/bin/openssl.old

创建文件软连接

ln -sv /usr/local/bin/openssl /usr/bin/openss

结束后在此查询openssl的版本号,验证是否升级成功

替换nginx中使用的openssl到最新版

进入nginx的安装目录下的sbin下,运行命令查看详细信息

./nginx -V


并从详细信息的onfigure arguments中获取到旧版本的详细配置参数,我的参数如下:

--prefix=/usr/local/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.0.2s

找到nginx的 configure 文件。以下是我的nginx目录结构.configure 文件在 nginx-1.23.2 中,cd nginx-1.23.2 进入此文件夹。

使用以下命令重新编译nginx.

# 注意:
# --prefix 之后的配置内容和旧版的一致。但是 --with-openssl 部分必须改成新的版本号。./configure   --prefix=/usr/local/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.1.1k && make && make install

等待编译完成。
完成后,关闭原来运行着的nginx


pkill -9 nginx

进入安装路径下的sbin 目录下启动nginx

./nginx

启动完成后查看nginx的版本信息,验证nginx的openssl版本号是否已经升级成功。

将以下的内容替换 nginx 的443配置中的 ssl_ciphers 内容,禁用指定算法

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE:!IDEA:!DES;

进入安装路径下的sbin 目录下重新加载nginx配置

./nginx -s reload

【漏洞修复】 CVE Linux 系统应用漏洞修复笔记相关推荐

  1. Linux命令修复方法,Linux系统MBR的修复方法

    MBR boot loader介绍 MBR是硬盘中第一个扇区的前512个字节,称为main boot record,512字节中的前446个字节为boot loader 所在部分,boot loade ...

  2. 最好用的Linux系统磁盘数据修复工具合集!

    磁盘是计算机技术中非常常见的概念,它是计算机主要的存储介质,可以存储大量的二进制数据,并且断电后也能保持数据不丢失.但在日常工作中,我们经常会遇到不小心误删数据的情况,因此就需要进行数据恢复,那么Li ...

  3. Linux系统bash漏洞

    Linux系统bash漏洞 前言 一.漏洞介绍 二.实验过程 总结 前言 bash,全称为Bourne-AgainShell,是控制Linux计算机命令提示符的软件.2014年被发现其存在严重的安全漏 ...

  4. centos光盘修复引导_安装光盘修复centos6.6系统及gurb修复系统

    安装光盘修复centos6.6系统及gurb修复系统 方法一: 1.将系统光盘或者U盘连接电脑,开机启动,选择第三项(Rescue installed system) 2.选择英语 OK 3.输入键盘 ...

  5. u盘修复linux系统,360u盘修复工具官方版u盘pe安装linux系统

    电脑配件质量不佳或损坏,是引起显示器黑屏故障的主要成因.如内存,显示卡,主板.CPU等出现问题肯定可能引起黑屏故障的出现.其故障表现为显示器灯呈橘黄色,此时可用替换法更换下显示卡,内存.CPU,主板等 ...

  6. 深度linux系统反复重启,修复启动

    Contents 介绍 如果GRUB接管MBR,那么GRUB安装分为三部分: 第一部分(一般情况下)写在了MBR上 第二部分是将core.img嵌入到MBR之后的保留扇区部分 第三部分才是/boot/ ...

  7. Linux系统修复网络,Linux系统无法上网解决方案教程

    人们使用电脑时候最不想看到的事情之一就是上不了网了,无论是工作还是玩游戏时候都很不爽.本篇文章主要介绍了详解Linux系统无法上网解决方案,小编觉得挺不错的,现在分享给大家,也给大家做个参考.一起跟随 ...

  8. linux系统软件修复,SystemRescueCd(Linux系统修复盘) V5.3.1 官方版

    SystemRescueCd 是一款可启动光盘Linux系统,拥有强大的功能,简单易操作,给用户带来很多的系统修复帮助和便利.它用于在崩溃后修复系统及数据.它的另一个目标是为在你的计算机上完成管理任务 ...

  9. linux系统u盘修复,SystemRescueCd(Linux系统修复盘) v6.0.3 官方免费版

    SystemRescueCd是一款针对linux用户打造的系统急求盘,类似于我们在windows下使用的一些U盘启动盘,运行后操作一下就可以进行linux操作系统的修复等操作了,使用SystemRes ...

最新文章

  1. 牛逼哄哄的 Lambda 表达式,简洁优雅就是生产力!
  2. 什么场景应该用 MongoDB ?
  3. IIS 7.5绑定中文域名转码启动站点报“值不在预期的范围内”
  4. 函数指针指向类的静态成员函数
  5. LiteOS内核源码分析:静态内存Static Memory
  6. Could not find leader nimbus
  7. 支付宝,微信在没网络的情况下还能支付,是如何实现的?需要什么支持?
  8. 在linux不能连上互联网的情况下安装IE6
  9. Python的JAVA胶水——jpype
  10. Eclipse hibernate Tools下载
  11. Java--中文转换拼音,jpinyin-1.0.jar
  12. style=扑克牌游戏大家应该都比较熟悉了,一副牌由54张组成,含3~A、2各4张,小王1张,大王1张。 牌面从小到大用如下字符和字符串表示(其中,小写joker表示小王,大写JOKER表示大
  13. apose-cell-22.6 excel转换pdf水印去除
  14. 基于Android的本地电子书阅读器的设计与实现Ebook(3)
  15. 从渲染原理谈前端性能优化
  16. 寒假思雨姐摸底D题题解
  17. 第四章 web前端开发工程师--JavaScript京东商城项目开发 4-3 京东商城 源代码(整个工程)
  18. 周测3 T1 无碳小车
  19. 原生M1芯片Mac版Maxon Cinema 4D R26 C4D中文直装版安装教程,解决卡启动画面无法打卡等问题
  20. 无鸟用的SAP PA证书,刚入行的同行可以考一考

热门文章

  1. SQLite学习之路② Pager模块介绍和Pager对象(2021SC@SDUSC)
  2. 医疗智能BI助你建立智慧医院
  3. python判断能否组成三角形_【python+任意输入3个数+判断能否组成三角形】 - #1
  4. 弗洛伊德算法学习(Java)
  5. 关于基恩士PLC程序重命名后注释丢失问题处理方式
  6. 开源数据版本管理组件 -- VersionRepository
  7. java string中文_Java将String字符串的英文双引号批量转换成中文双引号
  8. HTML头部结构详解
  9. Mac m1 安装安装homebrew
  10. 聊一聊深度学习做寿命预测