关于SSL POODLE漏洞 
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。 
从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。

如何检测漏洞 
可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。

修复措施: 
禁用sslv3协议 
不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器: 
注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

ssl_protocols TLSv1 TLSv1. TLSv1.;

ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

复制代码 
apache服务器: 
注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

apache2.X版本:

SSLProtocol  all -SSLv2 -SSLv3

SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL

Tomcat服务器: 
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。 
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)

Tomcat 6 (prior to 6.0.38)

<Connector port="" protocol="org.apache.coyote.http11.Http11Protocol"

               maxThreads="" SSLEnabled="true" scheme="https" secure="true"

     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"

               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"

                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                                TLS_RSA_WITH_AES_128_CBC_SHA256,

                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

Tomcat 7 and later

< Connector port="" protocol="org.apache.coyote.http11.Http11Protocol"

               maxThreads="" SSLEnabled="true" scheme="https" secure="true"

               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"

               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                               TLS_RSA_WITH_AES_128_CBC_SHA256,

                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

使用apr的tomcat(windows环境路径请使用“\”)

<Connector port="" maxHttpHeaderSize=""

               maxThreads=""

               protocol="HTTP/1.1"

               enableLookups="false" disableUploadTimeout="true"

               acceptCount="" scheme="https" secure="true"

               SSLEnabled="true"

               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

               SSLCertificateFile="conf/2_domian.com.crt"

               SSLCertificateKeyFile="conf/3_domian.com.key"

               SSLCertificateChainFile="conf/1_root_bundle.crt" />

IIS服务器: 
使用我们的套件工具,按照如下图进行修复。 
下载地址: 
https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe

备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012 

根据图示进行选择,修改完成后重启服务器。

服务器SSL不安全漏洞修复方案的更多相关文章

  1. 应用安全-Web安全-漏洞修复方案整理

    通过HTTP头部字段防御措施整理 X-Frame-Options #反劫持 X-XSS-Protection #开启浏览器防XSS功能 Set X-Frame-Options  CSP X-Conte ...

  2. 【渗透测试】NSA Windows 0day漏洞+修复方案

    这个漏洞是前段时间爆出来的,几乎影响了全球70%的电脑,不少高校.政府和企业都还在用Windows服务器,这次时间的影响力堪称网络大地震. ------------------------------ ...

  3. URL存在http host头攻击漏洞-修复方案

    URL存在http host头攻击漏洞-修复方案 spring boot使用注解的方式 -- 第一步:在自定义filter类上添加如下注释 package com.cmcc.hy.mobile.con ...

  4. Struts2 高危漏洞修复方案 (S2-016/S2-017)

    近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商.银行.门户.政府居多. 官方描述:S2 ...

  5. 网站sql注入漏洞修复方案之metinfo 6.1.0系列

    近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...

  6. Linux Glibc库严重安全漏洞修复方案通知(腾讯开发者社区)

    如何查看当前glibc的版本号? rpm -aq | grep glibc 尊敬的用户:       您好!2015年1月28日, 腾讯云安全情报监测到LinuxGlibc库存在一处严重安全漏洞,可以 ...

  7. DEDECMS 漏洞修复方案

    目录 DEDECMS支付模块注入漏洞 漏洞文件: /include/payment/alipay.php 漏洞描述: 对输入参数$_GET['out_trade_no']未进行严格过滤 修复方案: 对 ...

  8. struts2架构网站漏洞修复详情与利用漏洞修复方案

    struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开 ...

  9. 【渗透测试】Squirrelmail远程代码执行漏洞+修复方案

    最近网上有点不太平,爆出各种漏洞,等下会把近期的漏洞复现一下,发出来.安全圈的前辈总是默默的奉献,在这里晚辈们只能站在巨人的肩膀上,跟紧前辈们的步伐,走下去. -------------------- ...

随机推荐

  1. python3 fileinput模块

    模块fileinput可以对一个或多个文件的内容所有行进行迭代.遍历等操作: 常用方法: fileinput.input(files=None, inplace=False, backup='', b ...

  2. 【Loj117】有源汇上下界最小流(网络流)

    [Loj117]有源汇上下界最小流(网络流) 题面 Loj 题解 还是模板题. #include<iostream> #include<cstdio> #include< ...

  3. 【BZOJ2817】[ZJOI2012]波浪(动态规划)

    [BZOJ2817][ZJOI2012]波浪(动态规划) 题面 BZOJ 洛谷 题解 首先这个差值最大也就是\(n^2\)级别的. 那么这样子就可以压进状态啦. 我们把这个操作看成一个个加数的操作,按 ...

  4. 让自己的网站实现在线编辑office文档

    我们可以通过Office Web Apps(OWA)来实现在线编辑word,excel,power point, one note,并集成到自己的网站里去.   1 准备工作 1.1 操作系统 安装了 ...

  5. 「SCOI2015」小凸想跑步 解题报告

    「SCOI2015」小凸想跑步 最开始以为和多边形的重心有关,后来发现多边形的重心没啥好玩的性质 实际上你把面积小于的不等式列出来,发现是一次的,那么就可以半平面交了 Code: #include & ...

  6. 【mysql】mysql索引及优化学习

    一般优化mysql首先看查找的数据有没有用到索引,没有索引就加索引,有索引时候避免索引失效.(如果优化器觉得不需要索引就能返回所需要的数据暂不考虑) 看下面两条语句 MySQL [release_te ...

  7. centos7下zookeeper集群安装部署

    应用场景:ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件. 它是一个为分布式应用提供一致性服务的软 ...

  8. webpack入门(二)what is webpack

    webpack is a module bundler.webpack是一个模块打包工具,为了解决上篇一提到的各种模块加载或者转换的问题. webpack takes modules with dep ...

  9. 初入react-redux (基于webpack babel的react应用框架)

    react这么热门的框架也不介绍了,redux是一个单项数据流的小框架,当然不只配合react,它起初是为react而配的,现在面向所有了,比如ng-redux的项目.redux做为react的标准搭 ...

  10. Ubuntu下redis数据库的安装和配置详细过程

    Redis 安装 当前redis最新稳定版本是4.0.9 当前ubuntu虚拟机中已经安装好了redis,以下步骤可以跳过 最新稳定版本下载链接:http://download.redis.io/re ...