解决办法服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)

Posted leexiaofeng

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了解决办法服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)相关的知识,希望对你有一定的参考价值。

使用SSL开启重协商的服务都会受该漏洞影响

 

Apache解决办法:

   升级到Apache 2.2.15以后版本

 

IIS解决办法:

    IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。

 

Lighttpd解决办法:

    建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = "enable"。 

    http://download.lighttpd.net/lighttpd/releases-1.4.x/

 

nginx解决办法:

    0.7.x升级到nginx 0.7.64

    0.8.x升级到 0.8.23 以及更高版本。

    http://nginx.org/en/download.html

 

Tomcat解决办法:

 1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配置:

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol">

(可能会影响Tomcat性能);

 2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。

    参考链接:

    https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html

    https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

    http://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcat

    https://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison

 

Squid解决办法:

    升级到3.5.24以及以后版本

    http://www.squid-cache.org/Versions/

 

其它服务解决方案请联系各应用厂商确认关闭重协商的方法。

举例:ssl renegotiation disable

以上是关于解决办法服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)的主要内容,如果未能解决你的问题,请参考以下文章

如何解决:对应的服务器 tls 为 tls 1.0,小程序要求的TLS版本必须大于等于1.2问题

如何解决:对应的服务器 tls 为 tls 1.0,小程序要求的TLS版本必须大于等于1.2问题

Windows server 2012远程桌面服务(RDP)存在SSL / TLS漏洞的解决办法

FileZilla无法连接到服务器,不安全的服务器,不支持 FTP over TLS的解决方案

使用pip安装包提示TLS证书错误解决办法

tomcat部署https+TLS 1.2+Apple ATS支持