SSL/TLS协议信息泄露漏洞 (CVE-2016-2183)
| 漏洞名称 | SSL/TLS协议信息泄露漏洞 |
| CVE编号 | CVE-2016-2183 |
| 详细描述 | TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性,TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据,来源:Karthik Bhargavan Gaetan Leurent |
| 解决办法 | OpenSSL Security Advisory [22 Sep 2016],请在下列网页下载最新版本:https://www.openssl.org/source/,对于nginx、apache、lighttpd等服务器禁止使用DES加密算法,主要是修改conf文件,Windows系统可以参考如下链接:https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?当查看链接时里面没有真正解决方案,Windows server 2012R2远程桌面服务SSL加密默认是开启的,且有默认的CA证书,由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞,远程主机支持的SSL加密算法提供了中等强度的加密算法,使用密钥长度大于等于56bits并且小于112bits的算法都被认为是中等强度的加密算法。 |
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞 (CVE-2015-2808)
| 漏洞名称 | SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞 |
| CVE编号 | CVE-2015-2808 |
| 详细描述 | SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 |
| 解决办法 | 禁止使用RC4算法,Windows禁用RC4算法:首先更新微软发布的补丁 https://support.microsoft.com/en-us/topic/microsoft-security-advisory-update-for-disabling-rc4-479fd6f0-c7b5-0671-975b-c45c3f2c0540,修改注册表:使用regedit命令打开注册表,添加以下内容进行限制RC4 [HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet Control SecurityProviders SCHANNEL Ciphers R |
SSL/TLS RC4 信息泄露漏洞 (CVE-2013-2566)
| 漏洞名称 | SSL/TLS RC4 信息泄露漏洞 |
| CVE编号 | CVE-2013-2566 |
| 详细描述 | RC4是一种流加密算法,被广泛应用于SSL/TLS协议中,研究表明,RC4在某些实现中存在弱点,可能允许攻击者恢复部分或全部加密数据,这种攻击方式被称为“BREAK”攻击。 |
| 解决办法 | 禁用RC4加密算法,对于不同的平台和软件,禁用RC4的方法可能不同,在OpenSSL中,可以通过配置选项禁用RC4,在Web浏览器中,可以通过更新到最新版本并启用相应的安全设置来避免使用RC4。 |
这些漏洞主要源于SSL/TLS协议及其实现中的错误和弱点,可能导致敏感信息泄露、中间人攻击等安全问题,为了防范这些漏洞,建议用户及时更新SSL/TLS库和相关软件,禁用不安全的加密算法,并采取其他安全措施加强系统的安全性。
以上内容就是解答有关ssl 漏洞的详细内容了,我相信这篇文章可以为您解决一些疑惑,有任何问题欢迎留言反馈,谢谢阅读。
本文来源于互联网,如若侵权,请联系管理员删除,本文链接:https://www.9969.net/86660.html
