• 343 阅读
  • 2 回复

SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)

视频在线上传+队列转换FLV+水印+捉图+修复+获时+转3GP(API语言不限,开视频站必备!)

SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】  
SSLv3:
SSL3_CK_RSA_DES_192_CBC3_SHA
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】  
RC4 Ciphers:
RC4-MD5 Kx:RSA Au:RSA Enc:RC4(128) Mac:MD5
RC4-SHA Kx:RSA Au:RSA Enc:RC4(128) Mac:SHA1
RC4-MD5 Kx:RSA Au:RSA Enc:RC4(128) Mac:MD5
RC4-SHA Kx:RSA Au:RSA Enc:RC4(128) Mac:SHA1


修复方法:https://bbs.wosign.com/forum.php?mod=viewthread&tid=1284&highlight=ssl%2Bpoodle
小鱼的淘宝店铺-多多支持哇
视频在线上传+队列转换FLV+水印+捉图+修复+获时+转3GP(API语言不限,开视频站必备!)

对于其他平台的修复方式 可以参考其官方文档,或者联系我们。



关于SSL POODLE漏洞



POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。

从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。

 

如何检测漏洞

可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。



修复措施:

禁用sslv3协议

不同的web server不尽相同。这边列举主流的服务器的禁用方式



Nginx服务器:

注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。

(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2;

  2. ssl_ciphers ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL;

  3. ssl_prefer_server_ciphers  on;

复制代码

apache服务器:

注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。

(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)



apache2.X版本:

  1. SSLProtocol  all -SSLv2 -SSLv3

  2. SSLCipherSuite ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL

  3. SSLHonorCipherOrder on

复制代码


Tomcat服务器:

JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。

(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)

  1. <Connector port="443" protocol="org.apache.coyote.http11.Http11NioProtocol"

  2.               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

  3.     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"

  4.               clientAuth="false" sslProtocol="TLS"

  5.               ciphers="TLS_RSA_WITH_AES_128_GCM_SHA256,

  6.                        TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,

  7.                        TLS_RSA_WITH_AES_128_CBC_SHA,

  8.                        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

  9.                        TLS_RSA_WITH_AES_128_CBC_SHA256,

  10.                        TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

  11.                        SSL_RSA_WITH_3DES_EDE_CBC_SHA,

  12.                        TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

复制代码

使用apr的tomcat(windows环境路径请使用“\”,证书文件是for apache压缩包中的三个文件)

  1. <Connector port="443" maxHttpHeaderSize="8192"

  2.               maxThreads="150"

  3.               protocol="org.apache.coyote.http11.Http11AprProtocol"

  4.               enableLookups="false" disableUploadTimeout="true"

  5.               acceptCount="100" scheme="https" secure="true"

  6.               SSLEnabled="true"

  7.               SSLProtocol="all -SSLv2 -SSLv3"

  8.               SSLCertificateFile="conf/domian.com.crt"

  9.               SSLCertificateKeyFile="conf/domian.com.key"

  10.               SSLCertificateChainFile="conf/root_bundle.crt"

  11.               SSLCipherSuite="ECDH:AESGCM:HIGH:!RC4:!DH:!MD5:!aNULL:!eNULL" />

复制代码






IIS服务器:

使用我们的套件工具,按照如下图进行修复。

下载地址:




备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012




QQ截图20161028101538.jpg (56.37 KB, 下载次数: 217)
下载附件
2016-10-28 10:27 上传





根据图示进行选择,点击Best Practices,然后再点击Apply,完成后重启服务器。



123.jpg (286.57 KB, 下载次数: 480)



本帖最后由 张小鱼 于 2018-01-16 15:33 编辑
小鱼的淘宝店铺-多多支持哇
视频在线上传+队列转换FLV+水印+捉图+修复+获时+转3GP(API语言不限,开视频站必备!)


下载地址:


[local]2240[/local]






[local]2241[/local]





[local]2242[/local]
本帖最后由 张小鱼 于 2018-01-16 15:36 编辑
您需要 登录 才可以查看或下载附件. 没有帐号, 点击此处注册.
小鱼的淘宝店铺-多多支持哇