https://blog.csdn.net/Amdy_amdy/article/details/82781355
1、openssh累积型漏洞 高 cve-2017-10012
修复意见:
升级版本至>=openssh-5.3p1-122.el6
2、NTP累积型漏洞 高
修复意见:
稳定版请尽快安装ntp-4.2.8p4及以后版本
开发版请尽快安装ntp-4.3.77及以后版本
3、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】 中
修复意见:
建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞,使用了Secure Renegotiation。
4、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) 中
修复意见:
对于NGINX的修补
修改nginx配置文件中的 ssl_ciphers项
ssl_ciphers”ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4″;
ssl_prefer_server_ciphers on;
重新加载:
$sudo /etc/init.d/nginx reload
对于apache的修复
打开配置文件
$ sudo vi /etc/httpd/conf.d/ssl.conf
修改配置
SSLCipherSuite
HIGH:MEDIUM:!aNULL:!MD5;!RC4
$ sudo /etc/init.d/httpd restart
对于TOMCAT的修复
server.xml 中SSL connector加入以下内容:
SSLEnabled=”true”sslEnabledProtocols=”TLSv1,TLSv1.1,TLSv1.2″ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA”
5、SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566) 中
修复意见:
Apache
在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3: SSLProtocol All -SSLv2 -SSLv3 重启Apache
Nginx
在配置文件中使用: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 重启Nginx
6、oracle weblogic漏洞 高
影响版本
Oracle WebLogic Server10.3.6.0
Oracle WebLogic Server12.2.1.2
Oracle WebLogic Server12.2.1.3
Oracle WebLogic Server12.1.3.0
请升级至大于以上版本。
7、Nginx range filter 整型溢出漏洞 (CVE-2017-7529)
受影响版本:
Nginx 0.5.6 – 1.12.0
Nginx 1.13.0 – 1.13.2
8、OpenSSL “SSL-Death-Alert” 拒绝服务漏洞(CVE-2016-8610)
修复版本:
openssl-1.0.2分支的1.0.2i及后续版本
openssl-1.1.0分支的1.1.0a及后续版本
9、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)
修复版本:openssl-0.98m之后的版本
10、PHP累积型漏洞
升级到安全版本:
PHP >=7.0.21
PHP >=5.6.31
PHP >=7.1.7
11、Apache Tomcat安全绕过漏洞(CVE-2018-1305)
修复方案:请升级到安全版本
Apache Tomcat 9.0.5
Apache Tomcat 8.5.28
Apache Tomcat 8.0.50
Apache Tomcat 7.0.85
Apache Tomcat CORS Filter 安全漏洞(CVE-2018-8014)、 Apache Tomcat安全限制绕过漏洞(CVE-2018-8034)
受影响版本:
Apache Tomcat 7.0.25-7.0.88、
Apache Tomcat8.5.0-8.5.31、
Apache Tomcat9.0.0.M1-9.0.9
升级版本:
Apache Tomcat 9.0.12
Apache Tomcat 8.5.34
Apache Tomcat 8.0.53
Apache Tomcat 7.0.90
12、SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)
修复方案:升级OpenSSL到>=OpenSSL 1.0.1e-60.el7
13、SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
修复方案:
1、升级到最新的JDK版本(8.0以上),就可以立刻解决该问题。
2、如果没有办法升级JDK,可以采用调整服务器加密套件的配置来解决。 Tomcat 基于Java 1.6,请在Server.xml中增加以下ciphers配置:
<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11Protocol”
……
ciphers=”TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA”></connector>
基于Java 7,请在Server.xml中增加以下ciphers配置:
<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11Protocol”
……
ciphers=”TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA”></connector>
Weblogic
找到config.xml文件,修改编辑其中<ciphersuite></ciphersuite>参数,增加:
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
14、s2-045漏洞 高
修复方案:
升级struts2框架至2.3.32版本,
1.替换struts2的三个核心包至2.3.32版本:struts2-json-plugin-2.3.32.jar,struts2-core-2.3.32.jar,struts2-spring-plugin-2.3.32.jar
2.如果项目中有用到xwork-core包,则替换至2.3.32版本:xwork-core-2.3.32.jar
3.同时对ognl要求最低版本为:ognl-3.0.19.jar,对freemarker要求最版本为:freemarker-2.3.22.jar
4.设置struts2的主配置文件,设置属性:<constant name=”struts.enable.DynamicMethodInvocation” value=”true” />
备注:https://blog.csdn.net/fubin5115/article/details/79503409
15、Oracle MySQL 累积型漏洞 CVE-2018-2562 高
升级MySQL至
>=MySQL 5.6.39 版本
>=MySQL 5.7.21 版本
16、Oracle Database Server 累积型漏洞 CVE-2018-2841 高
升级Oracle Database Server > 11.2.0.4版本
17、Oracle Enterprise 累积型漏洞 端口:1521 中
升级版本至
Oracle Enterprise Manager Grid Control >11.1.0.1
Oracle Enterprise Manager Grid Control >12.1.0.5
18、Sendmail 累积型漏洞 端口:25 高
升级至>=8.14.3版本
19、检测到远端rexec服务正在运行中 端口:512 高
建议立即禁用rexecd服务:
*在windows下禁用rexecd服务 打开服务控制面板,在服务列表中找到rexec项,选择停止服务
*在unix系统下禁用rexecd服务 在“/etc/inetd.conf”里注释掉“exec”行并重起inetd服务。
20、Samba SWAT Server正在运行 端口:901 高
升级至Samba 4.8.3版本
21、Vmware ESXi累积型漏洞 CVE-2017-4904 高
受影响版本:
VMware ESXi 6.5版本,6.0 U3版本,6.0 U2版本,6.0 U1版本,5.5版本;
Workstation Pro / Player 12.5.5之前的12.x版本;
Fusion Pro / Fusion 8.5.6之前的8.x版本。
22、VMware 多个产品安全漏洞 (CVE-2018-3639)(VMSA-2018-0012.1)
受影响系统:
Intel Corporation Xeon CPU
Intel Corporation Atom Processor
Intel Pentium Processor
Intel Celeron Processor
Vmware Product
product Version
severity
replace with/apply Patch
Mitigation/Workaround
ESXi
6.7
Moderate
ESXi670-201806401-BG* ESXi670-201806402-BG**
none
ESXi
6.5
Moderate
ESXi650-201806401-BG* ESXi650-201806402-BG**
none
ESXi
6
Moderate
ESXi600-201806401-BG* ESXi600-201806402-BG**
none
ESXi
5.5
Moderate
ESXi550-201806401-BG* ESXi550-201806402-BG**
none
23、VMware ESXi累积型漏洞
修复方案:
请下载补丁,补丁链接:https://www.vmware.com/security/advisories/VMSA-2018-0012.html
24、服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】
修复方案:
Apache解决办法: 升级到Apache 2.2.15以后版本
IIS解决办法: IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。
Lighttpd解决办法: 建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = “enable”。
Nginx解决办法: 升级至nginx-1.15.2 版本
Tomcat解决办法:
1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配置: <Connector protocol=”org.apache.coyote.http11.Http11NioProtocol”> (可能会影响Tomcat性能);
2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。 参考链接: https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.htmlhttps://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.htmlhttp://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcathttps://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison
Squid解决办法: 升级到3.5.24以及以后版本
25、OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)【原理扫描】
受影响系统:
OpenSSL Project OpenSSL 1.0.2-beta1
OpenSSL Project OpenSSL 1.0.2-beta
OpenSSL Project OpenSSL 1.0.1f
OpenSSL Project OpenSSL 1.0.1e
OpenSSL Project OpenSSL 1.0.1d
OpenSSL Project OpenSSL 1.0.1c
OpenSSL Project OpenSSL 1.0.1b
OpenSSL Project OpenSSL 1.0.1a
OpenSSL Project OpenSSL 1.0.1
不受影响系统:
OpenSSL Project OpenSSL 1.0.2-beta2
OpenSSL Project OpenSSL 1.0.1g
OpenSSL Project OpenSSL 1.0.0
OpenSSL Project OpenSSL 0.9.8
临时解决方法:
NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。
厂商补丁:
OpenSSL Project
—————
Openssl已经发布了Openssl 1.0.1g修复此问题,:
厂商安全公告:
https://www.openssl.org/news/secadv_20140407.txt
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3
对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。
主流Linux发行版也已经发布相关补丁,请尽快升级。
26、Redis 配置不当可直接导致服务器被控制【原理扫描】
修复方案:
防止这个漏洞需要修复以下三处问题
第一:修改redis绑定的IP如果只在本机使用redis服务那么只要绑定127.0.0.1如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口最好不要绑定0.0.0.0另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问redis服务
第二:设置访问密码在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。注:修改redis的配置需要重启redis才能生效。
第三:使用普通用户启动redis,并且禁止该用户启动shell,禁止使用root用户启动redis。
27、Redis 未授权访问漏洞【原理扫描】
修复方案:
方法一:可以修改绑定的IP、端口和指定访问者IP具体根据实际情况来设定,也可以直接在服务器防火墙上做设置。
方法二:设置访问密码在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。注:修改redis的配置需要重启redis才能生效。
28、ZooKeeper 未授权访问【原理扫描】
修复方案:
为ZooKeeper配置相应的访问权限。
方式一:
1)增加一个认证用户addauth digest 用户名:密码明文eg. addauth digest user1:password1
2)设置权限setAcl /path auth:用户名:密码明文:权限eg. setAcl /test auth:user1:password1:cdrwa
3)查看Acl设置getAcl /path
方式二:
setAcl /path digest:用户名:密码密文:权限
29、远端WWW服务支持TRACE请求
修复方案:
管理员应禁用WWW服务对TRACE请求的支持。IISURLScanApacheSource Code ModificationMod_Rewrite ModuleRewriteEngine onRewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F]
———————
作者:cacheyu
来源:CSDN
原文:https://blog.csdn.net/Amdy_amdy/article/details/82781355
版权声明:本文为博主原创文章,转载请附上博文链接!
The MySQL project is an open source relational database management system.
A vulnerability has been reported concerning the impossibility for MySQL users
(with any major stable version) to enforce an effective SSL/TLS connection
that would be immune from man-in-the-middle (MITM) attacks performing a
malicious downgrade.
While the issue has been addressed in MySQL preview release 5.7.3 in December
2013, it is perceived that the majority of MySQL users are not aware of this
limitation and that the issue should be treated as a vulnerability.
The vulnerability lies within the behaviour of the ‘–ssl’ client option,
which on affected versions it is being treated as “advisory”. Therefore while
the option would attempt an SSL/TLS connection to be initiated towards a
server, it would not actually require it. This allows a MITM attack to
transparently “strip” the SSL/TLS protection.
The issue affects the ssl client option whether used directly or triggered
automatically by the use of other ssl options (‘–ssl-xxx’) that imply
‘–ssl’.
Such behavior is clearly indicated in MySQL reference manual as follows:
For the server, this option specifies that the server permits but does not require
SSL connections.
For a client program, this option permits but does not require the client to
connect to the server using SSL. Therefore, this option is not sufficient in
itself to cause an SSL connection to be used. For example, if you specify this
option for a client program but the server has not been configured to permit
SSL connections, an unencrypted connection is used.
In a similar manner to the new ‘–ssl’ option behaviour, users of the MySQL
client library (Connector/C, libmysqlclient), as of MySQL 5.7.3, can take
advantage of the MYSQL_OPT_SSL_ENFORCE option to enforce SSL/TLS connections.
The vulnerability also affects the MySQL forks MariaDB and Percona Server, as
the relevant 5.7.3 patch has not been pulled, at the time of this advisory, in
their respective stable versions.
Affected version:
MySQL <= 5.7.2
MySQl Connector/C (libmysqlclient) < 6.1.3
Percona Server, all versions
MariaDB, all versions
Fixed version:
MySQL >= 5.7.3
MySQl Connector/C (libmysqlclient) >= 6.1.3
『
# 现在emm里面的如下:
[emm@emm2 target]$ find /opt/emm -name *mysql*
/opt/emm/uusafe_lib/mysql-connector-java-5.1.36.jar
[emm@emm2 target]$
』
Percona Server, N/A
MariaDB, N/A
Credit: vulnerability report from Adam Goodman, Principal Security Architect
at Duo Security.
CVE: CVE-2015-3152 (MariaDB, Percona)
Timeline:
2015-03-20: vulnerability report received
2015-03-23: contacted Oracle Security
2015-04-04: oCERT sets embargo date to April 29th
2015-04-20: reporter confirms MariaDB is affected
2015-04-22: contacted MariaDB and affected vendors, assigned CVEs
2015-04-23: contacted Percona
2015-04-29: advisory release
References:
https://github.com/mysql/mysql-server/commit/3bd5589e1a5a93f9c224badf983
cd65c45215390
http://dev.mysql.com/doc/relnotes/mysql/5.7/en/news-5-7-3.html
https://mariadb.atlassian.net/browse/MDEV-7937
https://bugs.launchpad.net/percona-server/+bug/1447527
Permalink:
http://www.ocert.org/advisories/ocert-2015-003.html
—
Andrea Barisani | Founder & Project Coordinator
oCERT | OSS Computer Security Incident Response Team
<lcars (at) ocert (dot) org [email concealed]> http://www.ocert.org
0x864C9B9E 0A76 074A 02CD E989 CE7F AC3F DA47 578E 864C 9B9E
“Pluralitas non est ponenda sine necessitate”