2.问题描述 在Windows server 2003和Windows server 2008,远程桌面服务SSL加密默认是关闭的,需要配置才可以使用;但 Windows server 2012默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当Windows server 2012开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞,如图1所示:

windows

解决方法一(推荐):通过IISCrypto.exe IIS工具进行修复,可自行网上下载

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】漏洞修复_CVE-2016-2183

选择最佳实践进行设置即可,可取消Triple DES 168 

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】漏洞修复_CVE-2016-2183_02

根据提示重启服务器即可。

gpupdate /force

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】漏洞修复_CVE-2016-2183_03


linux

升级openssl版本

https://blog.51cto.com/u_13864558/6870187  

tomcat

在tomcat/conf/server.xml中找到https端口配置,添加Ciphers="......",此处添加支持的算法,不支持的算法请勿加入其中!

<Connector port="10004" protocol="org.apache.coyote.http11.Http11NioProtocol" maxHttpHeaderSize="8192" minSpareThreads="250" maxSpareThreads="1000"
enableLookups="false" acceptCount="1000" connectionTimeout="8000" 
maxProcessors="2000" maxThreads="2000" SSLEnabled="true" scheme="https" secure="true" keystoreFile="cert/XXXXXXXXXXXX.pfx" keystoreType="xxxxx" keystorePass="xxxxxxxx" sslEnabledProtocols="TLSv1" clientAuth="false" SSLProtocol="TLSv1+TLSv1.1+TLSv1.2" 
Ciphers="TLS_DHE_RSA_WITH_AES_128_CBC_SHA ,TLS_DHE_RSA_WITH_AES_128_CBC_SHA256,TLS_DHE_RSA_WITH_AES_128_GCM_SHA256,TLS_DHE_RSA_WITH_AES_256_CBC_SHA,TLS_DHE_RSA_WITH_AES_256_CBC_SHA256,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA ,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"
 />

重启tomcat

cd  tomcat-home/bin/
./shutdown.sh    :关闭
./startup.sh    :启动

nginx

nginx安全配置

在nginx/conf/nginx.conf中配置https端口配置

server
{
    listen 80;
	listen 443 ssl https2;
	#使用HTTP/2,需要Nginx1.9.7以上的版本
	ssl on;
    server_name ykqi.cn www.ykqi.cn;
    index index.php index.html index.htm default.php default.htm default.html;
    root /www/wwwroot/dist/ykqi;
    
    #SSL-START SSL相关配置,请勿删除或修改下一行带注释的404规则
    #error_page 404/404.html;
	
	add_header X-Frame-Options DENY;
	#禁止被嵌入框架
	
	add_header X-Content-Type-Options nosniff;
	#防止在IE9、Chrome和Safari中的MIME类型混淆
 
	ssl_certificate      /www/server/panel/vhost/ssl/1_ykqi_bundle.crt;
	ssl_certificate_key  /www/server/panel/vhost/ssl/2_ykqi.key;  
	#SSL证书文件位置
 
	
	ssl_dhparam /www/server/panel/vhost/ssl/dhparam.pem;
	#DH-Key交换**文件位置
	
	#SSL优化配置
 
	ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
	#只允许TLS协议
 
	ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
	#加密套件,这里用了CloudFlares Internet facing SSL cipher configuration
 
	ssl_prefer_server_ciphers on;
	#由服务器协商最佳的加密算法
 
	ssl_session_cache builtin:1000 shared:SSL:10m;
	#Session Cache,将Session缓存到服务器,这可能会占用更多的服务器资源
 
	ssl_session_tickets on;
	#开启浏览器的Session Ticket缓存
 
	ssl_session_timeout 10m; 
	#SSL session过期时间
	
	add_header Strict-Transport-Security "max-age=6307200; includeSubdomains; preload";
	#开启HSTS,并设置有效期为“6307200秒”(6个月),包括子域名(根据情况可删掉),预加载到浏览器缓存(根据情况可删掉)
    #SSL-END
    
    #ERROR-PAGE-START  错误页配置,可以注释、删除或修改
    #error_page 404 /404.html;
    #error_page 502 /502.html;
    #ERROR-PAGE-END
    
    #PHP-INFO-START  PHP引用配置,可以注释或修改
    #PROXY-START
    location / 
    {
        proxy_pass http://localhost:8090;
        proxy_set_header Host $host;
        proxy_set_header X-Real-IP $remote_addr;
        proxy_set_header X-Forwarded-For $proxy_add_x_forwarded_for;
        proxy_set_header REMOTE-HOST $remote_addr;
                
        #持久化连接相关配置
        #proxy_connect_timeout 30s;
        #proxy_read_timeout 86400s;
        #proxy_send_timeout 30s;
        #proxy_http_version 1.1;
        #proxy_set_header Upgrade $http_upgrade;
        #proxy_set_header Connection "upgrade";
        
        #add_header X-Cache $upstream_cache_status;
        
        #expires 12h;
    }   
    
    #禁止访问的文件或目录
    location ~ ^/(\.user.ini|\.htaccess|\.git|\.svn|\.project|LICENSE|README.md)
    {
        return 404;
    }
    
    #一键申请SSL证书验证目录相关设置
    location ~ \.well-known{
        allow all;
    }
	  
    access_log  /www/wwwlogs/ykiq.cn.log;
    error_log  /www/wwwlogs/ykqi.cn.error.log;
}


爱数云文档nginx修复改漏洞,可参考

适用版本

  • AnyShare Enterprise 6.0.x

修复方法为:nginx 屏蔽 DES、3DES 等不安全算法

为解决此漏洞问题,需要修改 nginx.conf 配置文件,屏蔽不安全的算法,具体操作步骤如下:

1. 执行以下命令,进入到 nginx 配置文件路径,并对 nginx.conf 做好备份。

cd  /usr/local/nginx/conf/
cp nginx.conf nginx.conf.bak

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】漏洞修复_SSL_04

  1. 编辑 nginx.conf,找到 ssl_ciphers 参数所在行,按 i 键进入编辑模式,将该行末尾添加 :!DES:!3DES 后,按 Esc 键,键入 :wq 保存退出。
vi nginx.conf
/ssl_ciphers

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】漏洞修复_CVE-2016-2183_05


重新加载 nginx 配置文件

nginx -t
nginx -s reload

或者nginx重启

systemctl restart nginx