CVE-2016-2183

news/2024/11/18 3:22:57/

CVE-2016-2183-SSL/TLS协议信息泄露漏洞

漏洞描述
TLS, SSH, IPSec 协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。

该漏洞又称为 SWEET32,是对较旧的分组密码算法的攻击,使用 64 位的块大小,缓解 SWEET32 攻击 OpenSSL 1.0.1 和 OpenSSL 1.0.2 中基于 DES 密码套件从“高”密码字符串组移至“中”;但 OpenSSL 1.1.0 发布时自带这些,默认情况下禁用密码套件。该问题在新的 openssl 版本中已解决

远程主机支持使用提供中等强度加密的 SSL 密码。Nessus 将中等强度视为使用密钥长度至少为 64 位且小于 112 位的任何加密,或使用 3DES 加密套件的任何加密。请注意,如果攻击者位于同一物理网络上,那么绕过中等强度加密就容易得多。对于 windows,该漏洞影响了很多的服务,包括常见的3389,80,443,25等。

受影响版本
OpenSSL 1.1.0 前版本,也有高版本存在此漏洞
需查看 web 中间件 conf 配置判断
或使用 nmap 协商密码进行搜集

复现

此漏洞复现困难 耗费时间资源较多

SWEET32 攻击需要 30-38 个小时不断发送服务器请求,收集约 785 GB 流量,发现碰撞攻击,这将允许恢复 Cookie 文件内容,包含验证和用户会话详情。
对 OpenVPN 的攻击需要 18 小时收集 750G 的数据,复原 16 位的认证令牌。

详细复现过程可查阅相关资料

升级到不存在此漏洞版本

官方地址:https://www.openssl.org/source/

openssl version -a		//确认当前版本,备份证书文件和秘钥文件
mv /usr/bin/openssl /usr/bin/openssl.old  /备份执行文件
mv /usr/include/openssl /usr/include/openssl.old
cd /usr/local/src/
wget https://www.openssl.org/source/openssl-1.1.1h.tar.gz
tar zxvf openssl-1.1.1h.tar.gz
cd  ./openssl-1.1.1h/
./config --prefix=/opt/openssl --openssldir=/usr/local/ssl   //预编译,指定安装路径,生成 Makefile 文件,-t 参数可测试编译情况,--prefix:指定安装目录;--openssldir:指定 openssl 配置文件路径;加 shared 可指定创建动态链接库
make 	//编译,如编译失败,可执行 ./make clean ,或者编译前用 ./make test 测试编译情况而不直接编译
make install 		//编译成功后安装编译失败需更新 zlib 和 gcc
gcc -v //确定gcc版本,按需升级
cat /usr/lib64/pkgconfig/zlib.pc //确定zlib版本,按需升级
或尝试yum upgrade zlib zlib-devel gcc* -y //update
升级包保留旧版本,upgrade 升级后删除旧版本,如果不跟具体包名,update 所有包同时升级软件和系统内核(升级环境可能会导致生成事故),upgrade 升级后,只升级所有包,不升级软件和系统内核。这不同于 ubuntu 环境,update 是同步 /etc/apt/sources.list 和 /etc/apt/
sources.list.d 中列出的源的索引,以便 upgrade 时获取最新的软件包进行安装,在执行 upgrade 之前要执行 update才能从最新软件包更新。
替换旧 openssl 文件1)/usr/local/bin:
ln -sf /usr/local/openssl/bin/openssl  /usr/bin/openssl
ln -s /usr/local/ssl/include/openssl /usr/include/openssl
2)配置文件/usr/local/ssl:备份
3)库文件检查:/usr/local/lib64 //根据实际环境库文件位置配置,部分存放usr/local/ssl/lib,也可整个库文件夹备份。
4)验证:ldconfig -v|grep ssl //确定链接库
5)版本验证:openssl version
如果出现 openssl: error while loading shared libraries: libssl.so.1.1: cannot open shared object file: No such file or directory ,缺少相关库依赖,检查库文件ln -s /usr/local/lib/libcrypto.so.1.1 /usr/lib64/libcrypto.so.1.1
ln -s  /usr/local/lib/libssl.so.1.1 /usr/lib64/libssl.so.1.1
ldconfig -v|grep ssl   //确定链接库正常
echo "/usr/local/lib64" >> /etc/ld.so.conf    //将新库文件地址写入记录 so 配置文件,更新动态链接库数据
验证:openssl version

禁用 DES 算法修复

避免使用 DES 算法
配置 conf 的设置 ssl_ciphers HIGH:!aNULL:!MD5:!3DES; 重启中间件服务

Windows 远程桌面漏洞修复

使用 Windows FIPS 代替 SSL 加密
1)启用 FIPS
操作步骤:管理工具 -> 本地安全策略 -> 安全设置 -> 本地策略 -> 安全选项 -> 找到”系统加密:将 FIPS 兼容算法用于加密、哈希和签名”选项 -> 右键”属性” -> 在”本地安全设置”下,选择”已启用(E)”,点击”应用”、”确定”2)禁用 SSL 密码套件
操作步骤:’Win + R’,键入”gpedit.msc”,打开”本地组策略编辑器” -> 计算机配置 -> 网络 -> SSL 配置设置 -> 在”SSL密码套件顺序”选项上,右键”编辑” -> 在”SSL 密码套件顺序”选在”已禁用(D)” ,点击”应用”、”确定”3)删除默认CA认证书
操作步骤:’Win + R’,键入”mmc”,打开”管理控制台” -> ”文件” -> ”添加/删除管理单元(M)” -> 在”可用的管理单元”下选择”证书” -> 单击”添加” -> 在”证书管理单元”中选择”计算机用户(C)”,点击”下一步” -> 在”选择计算机”中选择”本地计算机(运行此控制台的计算机)(L)”,单击”完成” -> 回到”添加/删除管理单元”,单击”确定” -> 回到”控制台” -> ”证书(本地计算机)” -> ”远程桌面” -> ”证书”->在默认证书上右键”删除”

修复后存在问题

服务端将不使用 DES/3DES 加密方式,IE6、IE7、Windows XP 操作系统将无法访问站点,需业务方自行判断是否进行修复。


http://www.ppmy.cn/news/182240.html

相关文章

Packet Tracer - 交换机端口安全故障排除

Packet Tracer - 交换机端口安全故障排除 场景 通常使用 PC1 的员工将家里的笔记本电脑带来,然后断开 PC1 的连接并将笔记本电脑连接到电信插座。 在提醒此安全策略不支持在网络上使用个人设备后,您必须重新连接 PC1 并重新启用端口。 拓扑图 要求 …

Linux 查看访问 IP

Linux 系统有很多用于快速处理数据的工具如 grep , awk , cut , sort , uniq , sort 可以帮助我们分析网络情况 , 他们非常非常地好用 , 如果你熟练掌握他们的使用技巧 , 他们则可以帮你快速定位问题 ; 接下来一步步来查看访问系统的 IP 情况 通过 netstat -ntu , 找出通过 tc…

Emulator: emulator: INFO: QtLogger.cpp:68: Critical: Uncaught ReferenceError: $ is not defined (qrc:

今天用android studio在模拟器上运行程序总是出错,模拟器能起来,但程序一直安装运行不了,查看错误日志发现如下错误: 10:49 Emulator: [5228:9620:0808/104900.536:ERROR:ssl_client_socket_impl.cc(1050)] handshake failed; re…

代理服务器常用端口

代理服务器常用的端口有: HTTP代理:80/8080/3128/8081/9080 SOCKS代理:1080 FTP代理:21 Telnet代理:23 HTTPS代理:443 Android Market: 5228 FTP文件传送协议(File Transfer Protocol,简称FTP)&#…

OC5228 100V多功能LED恒流驱动器-高辉调光 65536:1 调光比

同脚位拼对拼替代智芯HI7001,磁吸灯/舞台灯电源方案新贵 概述 OC5228 是一款外围电路简单的多功能平均电流型LED 恒流驱动器,适用于5-100V 电压范围的降压BUCK 大功率调光恒流LED 领域。 芯片PWM 端口支持超小占空比PWM 调光,可响应最小60n…

Redis底层学习(三)—存储类型-List篇

文章目录 特点具体服务器操作命令具体操作应用场景 特点 适⽤场景:消息队列。 它的特点就是内部元素有序、重复,并且插⼊和删除很快 O(1) ,但是查找却很慢 O(n) 。功能⽀持队列和栈操作。 具体服务器操作命令 左侧插⼊元素: LP…

三星s10能升级android11,三星 S10+手机已在测试 Android 11 系统

IT之家 2月25日消息 谷歌本月初发布了首个Android 11开发者预览版,首先面向Pixel手机,不过看起来三星已经在Galaxy S10 手机开始测试最新系统。IT之家从Geekbench数据库中获知,上面出现了运行Android R,型号为SM-G975F的三星Galax…

三星手机一键禁用系统APP,支持S10E,S10,S20,Galaxy S21 Ultra 5G等

SAMSUNG一键禁用系统应用方法,原理是通过ADB 一键禁用系统APP 这次介绍的 禁用系统APP 方法 是通过 ADB命令行 来实现的 无需额外安装任何其他第三方APP APP被禁用后,也可以通过命令行随时恢复 准备工作 . 手机激活USB调试 方法请点击我前往 准备工…