SSL renegotiation攻击 检测

SSL重协商:以不断的SSL密钥重协商来耗尽HTTPS服务器性能的一种攻击。

如何测试SSL重协商是否禁用:

使用openssl命令连接ssl端口,输入R后如果连接端口说明已禁用

如下是已禁用的

# openssl s_client -connect 10.67.164.199:31943

Verify return code: 18 (self signed certificate)

R
RENEGOTIATING
139994761959080:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:615:

如下是未禁用的

# openssl s_client -connect 10.67.164.199:31943

Verify return code: 18 (self signed certificate)

R
RENEGOTIATING
depth=0 C = CH, ST = ShenZhen, L = ShenZhen, O = Techstar, OU = Developer, CN = 10.66.49.232
verify error:num=18:self signed certificate
verify return:1
depth=0 C = CH, ST = ShenZhen, L = ShenZhen, O = Techstar, OU = Developer, CN = 10.66.49.232
verify return:1
^C

常见主机漏洞及修复方案(TLS Client-initiated 重协商攻击(CVE-2011-1473))

https://blog.csdn.net/Amdy_amdy/article/details/82781355

1、openssh累积型漏洞  高  cve-2017-10012
修复意见:
升级版本至>=openssh-5.3p1-122.el6
 
2、NTP累积型漏洞  高
修复意见:
稳定版请尽快安装ntp-4.2.8p4及以后版本 
开发版请尽快安装ntp-4.3.77及以后版本                                                          
 
3、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】  中
修复意见:
建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞,使用了Secure Renegotiation。                                                                                
 
4、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)   中
修复意见:
对于NGINX的修补
修改nginx配置文件中的 ssl_ciphers项
ssl_ciphers”ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4″;
ssl_prefer_server_ciphers on;
重新加载:
$sudo /etc/init.d/nginx reload
对于apache的修复
打开配置文件
$ sudo vi /etc/httpd/conf.d/ssl.conf
修改配置
SSLCipherSuite
HIGH:MEDIUM:!aNULL:!MD5;!RC4
$ sudo /etc/init.d/httpd restart
对于TOMCAT的修复
server.xml 中SSL connector加入以下内容:
SSLEnabled=”true”sslEnabledProtocols=”TLSv1,TLSv1.1,TLSv1.2″ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA”
 
5、SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)  中
修复意见:
Apache 
在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3: SSLProtocol All -SSLv2 -SSLv3 重启Apache
Nginx
在配置文件中使用: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 重启Nginx
 
6、oracle weblogic漏洞   高
影响版本
Oracle WebLogic Server10.3.6.0
Oracle WebLogic Server12.2.1.2
Oracle WebLogic Server12.2.1.3
Oracle WebLogic Server12.1.3.0
请升级至大于以上版本。
 
7、Nginx range filter 整型溢出漏洞 (CVE-2017-7529)
受影响版本: 
Nginx 0.5.6 – 1.12.0 
Nginx 1.13.0 – 1.13.2 
 
8、OpenSSL “SSL-Death-Alert” 拒绝服务漏洞(CVE-2016-8610)
修复版本:
openssl-1.0.2分支的1.0.2i及后续版本 
openssl-1.1.0分支的1.1.0a及后续版本 
 
9、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)
修复版本:openssl-0.98m之后的版本 
 
10、PHP累积型漏洞
升级到安全版本:
 PHP >=7.0.21
 PHP >=5.6.31 
 PHP >=7.1.7
 
11、Apache Tomcat安全绕过漏洞(CVE-2018-1305)
修复方案:请升级到安全版本
Apache Tomcat 9.0.5
Apache Tomcat 8.5.28
Apache Tomcat 8.0.50
Apache Tomcat 7.0.85
 
Apache Tomcat CORS Filter 安全漏洞(CVE-2018-8014)、 Apache Tomcat安全限制绕过漏洞(CVE-2018-8034)
受影响版本:
Apache Tomcat 7.0.25-7.0.88、
Apache Tomcat8.5.0-8.5.31、
Apache Tomcat9.0.0.M1-9.0.9
升级版本:
Apache Tomcat 9.0.12
Apache Tomcat 8.5.34
Apache Tomcat 8.0.53
Apache Tomcat 7.0.90
 
12、SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)
修复方案:升级OpenSSL到>=OpenSSL 1.0.1e-60.el7
 
13、SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱
修复方案:
1、升级到最新的JDK版本(8.0以上),就可以立刻解决该问题。 
2、如果没有办法升级JDK,可以采用调整服务器加密套件的配置来解决。 Tomcat 基于Java 1.6,请在Server.xml中增加以下ciphers配置:
<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11Protocol”
……
ciphers=”TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA”></connector>
基于Java 7,请在Server.xml中增加以下ciphers配置:
<Connector port=”443″ protocol=”org.apache.coyote.http11.Http11Protocol”
……
ciphers=”TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA”></connector>
Weblogic  
找到config.xml文件,修改编辑其中<ciphersuite></ciphersuite>参数,增加:
<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
14、s2-045漏洞  高
修复方案:
升级struts2框架至2.3.32版本,
 1.替换struts2的三个核心包至2.3.32版本:struts2-json-plugin-2.3.32.jar,struts2-core-2.3.32.jar,struts2-spring-plugin-2.3.32.jar 
2.如果项目中有用到xwork-core包,则替换至2.3.32版本:xwork-core-2.3.32.jar 
3.同时对ognl要求最低版本为:ognl-3.0.19.jar,对freemarker要求最版本为:freemarker-2.3.22.jar  
4.设置struts2的主配置文件,设置属性:<constant name=”struts.enable.DynamicMethodInvocation” value=”true” />
 备注:https://blog.csdn.net/fubin5115/article/details/79503409
 
15、Oracle MySQL 累积型漏洞    CVE-2018-2562   高
升级MySQL至 
>=MySQL 5.6.39 版本
>=MySQL 5.7.21 版本
 
16、Oracle Database Server 累积型漏洞    CVE-2018-2841  高
升级Oracle Database Server > 11.2.0.4版本
 
17、Oracle Enterprise 累积型漏洞  端口:1521   中
升级版本至
Oracle Enterprise Manager Grid Control >11.1.0.1
Oracle Enterprise Manager Grid Control >12.1.0.5
 
18、Sendmail 累积型漏洞   端口:25   高
升级至>=8.14.3版本
 
19、检测到远端rexec服务正在运行中  端口:512  高
建议立即禁用rexecd服务:
*在windows下禁用rexecd服务 打开服务控制面板,在服务列表中找到rexec项,选择停止服务
*在unix系统下禁用rexecd服务 在“/etc/inetd.conf”里注释掉“exec”行并重起inetd服务。
 
20、Samba SWAT Server正在运行  端口:901  高
升级至Samba 4.8.3版本
 
21、Vmware ESXi累积型漏洞 CVE-2017-4904 高
受影响版本:
VMware ESXi 6.5版本,6.0 U3版本,6.0 U2版本,6.0 U1版本,5.5版本;
Workstation Pro / Player 12.5.5之前的12.x版本;
Fusion Pro / Fusion 8.5.6之前的8.x版本。
 
22、VMware 多个产品安全漏洞 (CVE-2018-3639)(VMSA-2018-0012.1)
受影响系统:
Intel Corporation Xeon CPU 
Intel Corporation Atom Processor 
Intel Pentium Processor 
Intel Celeron Processor
 
Vmware Product 
product Version
severity
replace with/apply Patch
Mitigation/Workaround
ESXi
6.7
Moderate
ESXi670-201806401-BG* ESXi670-201806402-BG**
none
ESXi
6.5
Moderate
ESXi650-201806401-BG* ESXi650-201806402-BG**
none
ESXi
6
Moderate
ESXi600-201806401-BG* ESXi600-201806402-BG**
none
ESXi
5.5
Moderate
ESXi550-201806401-BG* ESXi550-201806402-BG**
none
23、VMware ESXi累积型漏洞
修复方案:
请下载补丁,补丁链接:https://www.vmware.com/security/advisories/VMSA-2018-0012.html
 
24、服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】
修复方案:
Apache解决办法: 升级到Apache 2.2.15以后版本 
IIS解决办法: IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。 
Lighttpd解决办法: 建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = “enable”。 
Nginx解决办法: 升级至nginx-1.15.2 版本 
Tomcat解决办法:
1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配置: <Connector protocol=”org.apache.coyote.http11.Http11NioProtocol”> (可能会影响Tomcat性能); 
2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。 参考链接: https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.htmlhttps://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.htmlhttp://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcathttps://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison
Squid解决办法: 升级到3.5.24以及以后版本
 
25、OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)【原理扫描】
受影响系统:
OpenSSL Project OpenSSL 1.0.2-beta1
OpenSSL Project OpenSSL 1.0.2-beta
OpenSSL Project OpenSSL 1.0.1f
OpenSSL Project OpenSSL 1.0.1e
OpenSSL Project OpenSSL 1.0.1d
OpenSSL Project OpenSSL 1.0.1c
OpenSSL Project OpenSSL 1.0.1b
OpenSSL Project OpenSSL 1.0.1a
OpenSSL Project OpenSSL 1.0.1
不受影响系统:
OpenSSL Project OpenSSL 1.0.2-beta2
OpenSSL Project OpenSSL 1.0.1g
OpenSSL Project OpenSSL 1.0.0
OpenSSL Project OpenSSL 0.9.8
临时解决方法:
NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:
* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。
厂商补丁:
OpenSSL Project
—————
Openssl已经发布了Openssl 1.0.1g修复此问题,:
厂商安全公告:
https://www.openssl.org/news/secadv_20140407.txt
http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3
对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。
主流Linux发行版也已经发布相关补丁,请尽快升级。
 
26、Redis 配置不当可直接导致服务器被控制【原理扫描】
修复方案:
防止这个漏洞需要修复以下三处问题
第一:修改redis绑定的IP如果只在本机使用redis服务那么只要绑定127.0.0.1如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口最好不要绑定0.0.0.0另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问redis服务
第二:设置访问密码在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。注:修改redis的配置需要重启redis才能生效。
第三:使用普通用户启动redis,并且禁止该用户启动shell,禁止使用root用户启动redis。
 
27、Redis 未授权访问漏洞【原理扫描】
修复方案:
方法一:可以修改绑定的IP、端口和指定访问者IP具体根据实际情况来设定,也可以直接在服务器防火墙上做设置。
方法二:设置访问密码在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。注:修改redis的配置需要重启redis才能生效。
 
28、ZooKeeper 未授权访问【原理扫描】
修复方案:
为ZooKeeper配置相应的访问权限。
方式一:
1)增加一个认证用户addauth digest 用户名:密码明文eg. addauth digest user1:password1
2)设置权限setAcl /path auth:用户名:密码明文:权限eg. setAcl /test auth:user1:password1:cdrwa
3)查看Acl设置getAcl /path
方式二:
setAcl /path digest:用户名:密码密文:权限
 
29、远端WWW服务支持TRACE请求
修复方案:
管理员应禁用WWW服务对TRACE请求的支持。IISURLScanApacheSource Code ModificationMod_Rewrite ModuleRewriteEngine onRewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F]
———————
作者:cacheyu
来源:CSDN
原文:https://blog.csdn.net/Amdy_amdy/article/details/82781355
版权声明:本文为博主原创文章,转载请附上博文链接!