OpenSSH CBC模式信息泄露漏洞修复指南

Posted

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了OpenSSH CBC模式信息泄露漏洞修复指南相关的知识,希望对你有一定的参考价值。

参考技术A

OpenSSH是一种开放源码的SSH协议的实现,初始版本用于OpenBSD平台,现在已经被移植到多种Unix/Linux类操作系统下。如果配置为CBC模式的话,OpenSSH没有正确地处理分组密码算法加密的SSH会话中所出现的错误,导致可能泄露密文中任意块最多32位纯文本。在以标准配置使用OpenSSH时,攻击者恢复32位纯文本的成功概率为2^-18 ,此外另一种攻击变种恢复14位纯文本的成功概率为2^-14。

使用漏洞扫描工具进行检测

(※注:在修改前请注意备份文件,或对虚拟机创建快照。以便操作出现意外时进行系统恢复。)

找到例子中26行中 The default is: 下的内容,去除 -cbc 结尾的加密算法(此处请根据自身SSH版本加密修改,理论适用于所有SSH)。

共统计出6种加密方式,并对统计进行编排,以逗号相隔,并在头部添加 Ciphers 存处于 /etc/ssh/sshd_config 末尾即可,如图所示。

修复完成,可使用漏洞扫描工具复测。

记DES和Triple DES 信息泄露漏洞(CVE-2016-2183)的一些坑

参考技术A 公司项目做等保,扫描出了这个漏洞

DES和Triple DES 信息泄露漏洞(CVE-2016-2183)

做为高危漏洞,那是必须要修复的,这个漏洞也是第一次接触,就很费功夫。

先是在网上查询了大量的资料,还有相关的修复文档,里边的内容大部分都是:

1.升级openssl

2.升级openssh

3.升级nginx

4.修改nginx的conf文件配置

我按照文档上的进行一一升级修改,还是能扫描出来,然后开始怀疑是不是升级的版本不对,于是就重新安装了一遍

特别是nginx的conf文件,改来改去都改得面目全非了,结果一扫描,还是存在漏洞

然后怀疑,是不是方向错了,因为我们用的都是阿里云的服务,又向阿里云提交工单咨询,

不得不吐槽,阿里云的回复速度太慢了,等的花儿都谢了,按照阿里云客服的回复,改了些相关配置,还是不行

最后不得已,去寻求等保人员的帮助,在试了n多种方法之后,终于在一次修改完阿里云配置后,漏洞修复了!!!

流程是在阿里云控制台的web应用防火墙里边,进去网站接入菜单,服务器列表,把对应的服务器关闭引流

然后在扫描这个漏洞就没有了

其中用到了扫描的工具,nmap,可以自己扫描漏洞还存不存在,44.后边的1.11.111.111换成自己服务器的ip

主要是看扫描的结果有没有带DES算法,修复完我扫描了一次,已经没有DES了

以上是关于OpenSSH CBC模式信息泄露漏洞修复指南的主要内容,如果未能解决你的问题,请参考以下文章

记DES和Triple DES 信息泄露漏洞(CVE-2016-2183)的一些坑

记一次漏洞修复:DES和Triple DES 信息泄露漏洞(CVE-2016-2183)

漏洞修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

Linux OpenSSH-9.0p1最新版升级步骤详细(附脚本)

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞修复升级

Windows2008 r2“Web服务器HTTP头信息泄露”漏洞修复