重协商攻击(CVE-2011-1473) 漏洞处理
后来试过其实还是不太行,最终通过升级rocketmq版本来处理。
1. name server和broker都需要修改:进入 /home/rocketmq/rocketmq-4.7.0/bin,修改 runbroker.sh 和 runserver.sh(如果有runbroker.sh~ 和 runserver.sh~ 也修改下),分别加入如下配置:
# disable tls1.0
JAVA_OPT="${JAVA_OPT} -Dhttps.protocols=TLSv1.2"
JAVA_OPT="${JAVA_OPT} -Djdk.tls.disabledAlgorithms=SSLv3,RC4,MD5withRSA,DH,TLSv1"
JAVA_OPT="${JAVA_OPT} -Djdk.tls.client.protocols=TLSv1.1,TLSv1.2"
效果如下:
修改后,重启下 name server 和 broker
2. 如上述失败尝试,设定禁用的算法:编辑文件 /etc/profile,添加如下配置:
export _JAVA_OPTIONS="-Djdk.tls.disabledAlgorithms=SSLv3,RC4,MD5withRSA,TLSv1"
执行 source /etc/profile 使配置生效。
3. 还可以编辑文件 ${JAVA_HOME}/jre/lib/security/java.security,按如下配置:
jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1, RC4, DES, MD5withRSA, DH keySize < 1024, \EC keySize <224, 3DES_EDE_CBC
4. 修改后,执行如下命令,
openssl s_client -connect 127.0.0.1:9876 -tls1
如果能如下图所示,TLSv1.0协议连接失败,则成功禁用TLSv1.0。
如果如下图所示,应该还是表示连接成功(但如果如上设置好后,头几次调用session id为空,但之后调用都是复现session id不为空的情况,但这种情况目前公司的扫描貌似扫描不出来,还有待观望):
参考文章:
https://www.jianshu.com/p/9a97fe83ed6f
重协商攻击(CVE-2011-1473) 漏洞处理相关推荐
- 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录
服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473) 修复记录 根据漏洞扫描反馈的结果,发现存在"服务器支持 TLS Client-initiate ...
- RocketMQ TLS Client-initiated 重协商攻击(CVE-2011-1473)
环境信息 rocketmq:4.8.0 docker镜像 foxiswho/rocketmq:4.8.0 安全漏洞 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011- ...
- TLS Client-initiated 重协商攻击(CVE-2011-1473)漏洞验证测试
目录 1.前言 2.TLS Client-initiated重协商漏洞概述 3.漏洞验证 4.漏洞修复 4.1 缓解措施
- 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473复现验证)
楼主这里用的是第三种方法 一.使用bash脚本(tls-reneg )可验证 https://github.com/c826/bash-tls-reneg-attack 漏洞不存在-验证步骤 chmo ...
- 检测服务器是否开启重协商功能(用于CVE-2011-1473漏洞检测)
背景 由于服务器端的重新密钥协商的开销至少是客户端的10倍,因此攻击者可利用这个过程向服务器发起拒绝服务攻击.OpenSSL 1.0.2及以前版本受影响. 方法 使用OpenSSL(linux系统基本 ...
- SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】
netstat -apn | grep 41148 ps -ef | grep 2376 netstat -apn | grep 41148 二.Linux 1.查询8080端口是否被占用,并可以查看 ...
- linux源码编译安装apache( httpd-2.4.53)处理服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)
linux源码编译安装apache 首先我们需要下载相关的依赖包 apr.apr-util.pcre 下载地址 http://archive.apache.org/dist/apr/apr-1.7.0 ...
- SSL/TLS攻击介绍--重协商漏洞攻击
一.概述 最近几年曝出的高风险SSL/TLS安全漏洞大多跟SSL实现库相关,比如2011年曝出的SSL/TLS默认重协商漏洞,可导致DOS攻击, 比如2014年4月曝出的"心脏滴血" ...
- Solidity重入攻击深入理解
始于一份样例代码 下面是样例合约的完整代码: pragma solidity ^0.4.23;contract babybank {mapping(address => uint) public ...
最新文章
- Redis源码解析——双向链表
- 费用流 -- 四川省赛F-Direction Setting [拆边成点+费用流]
- Rose VS PowerDesigner
- 你应该了解的CSS语义化命名方式及常用命名规则
- 去掉文化管理系统广告
- java 获取文件所在的文件夹_【Java视频教程】day32-文件IO??
- c语言函数汉诺塔不用move,C语言——汉诺塔问题(函数递归)
- javascripts-for循环-while循环-标签的选择与操作
- mysql创建gbk库_MYSQL创建utf-8和GBK格式数据库
- python语言开发平台_Go+Python双语言混合开发
- portlet_Portlet Servlet JSP
- 前端js实现打印excel表格
- 【Codeforces 1051D】Bicolorings
- 禅道、码云、coding、redmine、jira、teambition几大敏捷开发项目管理系统试用对比体验
- ADRC自抗扰控制,有手就行
- 【预告】《天黑以后》(《The Darkest Hour》)
- 第二十一章 : 文本处理
- 【地理】从物理到地理之自然地理提纲整理2——大气圈
- 来自北京大学NOIP金牌选手yxc的常用代码模板2,图灵学院和享学课堂
- 作为新一代网络基础设施,区块链已有了哪些应用?
热门文章
- 【RPA】 RPA技术的核心概念及其应用范围——如何让公司的核心业务流程自动化,以及如何把RPA真正落地到企业中?
- MAC下IDEA快捷键设置
- 洛谷:Apples prologue/苹果和虫子(c语言)
- 苹果手机上的小圆圈在哪设置_抖音上爆火的苹果充电提示音,安卓手机也可以设置了!!...
- Java8 新特性自用总结
- 小学五年级计算机计划及教案,新浙摄版小学信息技术五年级下册教学计划和教案.docx...
- 黑马瑞吉外卖用户端顾客手机端页面展示
- 2020-12-29js基本知识
- docker部署jumpserver
- python分类下取得所有子类_Python中所有的异常类都是( ) 的子类。_学小易找答案...