记一次漏洞修复:DES和Triple DES 信息泄露漏洞(CVE-2016-2183)
Posted
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了记一次漏洞修复:DES和Triple DES 信息泄露漏洞(CVE-2016-2183)相关的知识,希望对你有一定的参考价值。
参考技术A 网站做等保测评的时候漏洞扫描出:DES和Triple DES 信息泄露漏洞(CVE-2016-2183)给出的修复建议如下: 目前厂商已经发布了升级补丁以修复此安全问题,补丁获取链接:https://www.openssl.org/blog/blog/2016/08/24/sweet32/
但是有更简单的方法—— 禁用DES ,因为我们网站在阿里云加了WAF,通过Cname 接入,所以直接修改对应网址的TLS配置即可,如图1,点开web应用防火墙-网站接入-对应网址的TLS配置,加密套件选择自定义,删除包含DES的选项,保存即可。
验证:打开cmd,nmap -sV --script ssl-enum-ciphers -p 443 网站名(名如:www.xxx.com),输出结果不再包含DES。
若未接入WAF,可参考另一位同学的解决方案:https://blog.51cto.com/denwork/2495472
记DES和Triple DES 信息泄露漏洞(CVE-2016-2183)的一些坑
参考技术A 公司项目做等保,扫描出了这个漏洞DES和Triple DES 信息泄露漏洞(CVE-2016-2183)
做为高危漏洞,那是必须要修复的,这个漏洞也是第一次接触,就很费功夫。
先是在网上查询了大量的资料,还有相关的修复文档,里边的内容大部分都是:
1.升级openssl
2.升级openssh
3.升级nginx
4.修改nginx的conf文件配置
我按照文档上的进行一一升级修改,还是能扫描出来,然后开始怀疑是不是升级的版本不对,于是就重新安装了一遍
特别是nginx的conf文件,改来改去都改得面目全非了,结果一扫描,还是存在漏洞
然后怀疑,是不是方向错了,因为我们用的都是阿里云的服务,又向阿里云提交工单咨询,
不得不吐槽,阿里云的回复速度太慢了,等的花儿都谢了,按照阿里云客服的回复,改了些相关配置,还是不行
最后不得已,去寻求等保人员的帮助,在试了n多种方法之后,终于在一次修改完阿里云配置后,漏洞修复了!!!
流程是在阿里云控制台的web应用防火墙里边,进去网站接入菜单,服务器列表,把对应的服务器关闭引流
然后在扫描这个漏洞就没有了
其中用到了扫描的工具,nmap,可以自己扫描漏洞还存不存在,44.后边的1.11.111.111换成自己服务器的ip
主要是看扫描的结果有没有带DES算法,修复完我扫描了一次,已经没有DES了
以上是关于记一次漏洞修复:DES和Triple DES 信息泄露漏洞(CVE-2016-2183)的主要内容,如果未能解决你的问题,请参考以下文章
Cryptology-3DES(Triple DES) -1981 American
RTSP视频传输平台EasyNVR安全扫描出现3DES漏洞修复方案
beego禁用3DES和DES弱加密算法--SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描
beego禁用3DES和DES弱加密算法--SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描