SSL/TLS漏洞修复
应用环境:客户上架服务器漏扫后进行漏洞修复。
系统环境:centos7.9
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
升级openssl到最新版本,官方地址:https://www.openssl.org/source/,最新的稳定版本是1.1.1系列,且是TLS版本
查看目前最新版本
openssl-1.1.1u.tar.gz
查看当前openssl版本
[root@localhost home]# openssl version OpenSSL 1.0.2k-fips 26 Jan 2017
在目录cd /usr/local/下载安装包,解压安装包
cd /usr/local/
wget https://www.openssl.org/source/openssl-1.1.1u.tar.gz --no-check-certificate
tar -zxvf openssl-1.1.1u.tar.gz
先更新下环境依赖
yum install libaio ncurses gcc gcc-c++ cmake ncurses-devel wget pcre-devel zlib-devel openssl openssl-devel
备份
mv /usr/bin/openssl /usr/bin/openssl.bak
mv /usr/include/openssl /usr/include/openssl.bak
编译安装
cd /usr/local/openssl-1.1.1u/
./config --prefix=/usr/local/openssl
make && make install
编译报错:发现缺少依赖,见上文(先更新下环境依赖)
建立链接
ln -s /usr/local/openssl/bin/openssl /usr/bin/openssl ln -s /usr/local/openssl/include/openssl /usr/include/openssl echo "/usr/local/openssl/lib" >> /etc/ld.so.conf ldconfig
查看更新后版本
[root@localhost openssl-1.1.1u]# openssl version OpenSSL 1.1.1u 30 May 2023
SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
进入nginx的安装目录下的sbin下,运行名称查看使用的openssl版本
./nginx -V
如果版本不满足就重新编译安装nginx,进入nginx程序目录,指定更新后的openssl版本。
./configure --prefix=/home/nginx --with-http_sub_module --with-http_stub_status_module --with-pcre --with-http_ssl_module --with-http_flv_module --with-http_gzip_static_module --with-http_realip_module --with-stream --with-stream_ssl_module --with-openssl=/usr/local/openssl-1.1.1u
make && make install
重启nginx
./nginx -s reload
修改配置文件nginx.conf对应的ssl_ciphers参数
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!3DES:!ADH:!RC4:!DH:!DHE:!IDEA:!DES;
建 议:避免使用RC4算法 1、禁止apache服务器使用RC4加密算法 vi /etc/httpd/conf.d/ssl.conf 修改为如下配置 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4 重启apache服务 2、关于lighttpd加密算法 在配置文件lighttpd.conf中禁用RC4算法,例如 : ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-S HA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE -RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AE S256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE- RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE- RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-R SA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA 256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:! eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"
如果对您有所帮助请《点赞》、《收藏》、《转发》,您的支持是我持续更新的动力,有疑问请留言