关于SSL POODLE漏洞 
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。 
从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。

如何检测漏洞 
可以是通过在线检测工具https://wosign.ssllabs.com/来进行检测。

修复措施: 
禁用sslv3协议 
不同的web server不尽相同。这边列举主流的服务器的禁用方式

Nginx服务器: 
注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

ssl_protocols TLSv1 TLSv1. TLSv1.;

ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

复制代码 
apache服务器: 
注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。 
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

apache2.X版本:

SSLProtocol  all -SSLv2 -SSLv3

SSLCipherSuite AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL

Tomcat服务器: 
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。 
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)

Tomcat 6 (prior to 6.0.38)

<Connector port="" protocol="org.apache.coyote.http11.Http11Protocol"

               maxThreads="" SSLEnabled="true" scheme="https" secure="true"

     keystoreFile="keystore/domain.jks"  keystorePass="证书密码"

               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"

                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                                TLS_RSA_WITH_AES_128_CBC_SHA256,

                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

Tomcat 7 and later

< Connector port="" protocol="org.apache.coyote.http11.Http11Protocol"

               maxThreads="" SSLEnabled="true" scheme="https" secure="true"

               keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"

               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

                               TLS_RSA_WITH_AES_128_CBC_SHA256,

                               TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

                               TLS_RSA_WITH_3DES_EDE_CBC_SHA,

                               TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

使用apr的tomcat(windows环境路径请使用“\”)

<Connector port="" maxHttpHeaderSize=""

               maxThreads=""

               protocol="HTTP/1.1"

               enableLookups="false" disableUploadTimeout="true"

               acceptCount="" scheme="https" secure="true"

               SSLEnabled="true"

               sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

               SSLCertificateFile="conf/2_domian.com.crt"

               SSLCertificateKeyFile="conf/3_domian.com.key"

               SSLCertificateChainFile="conf/1_root_bundle.crt" />

IIS服务器: 
使用我们的套件工具,按照如下图进行修复。 
下载地址: 
https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe

备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012 

根据图示进行选择,修改完成后重启服务器。

服务器SSL不安全漏洞修复方案的更多相关文章

  1. 应用安全-Web安全-漏洞修复方案整理

    通过HTTP头部字段防御措施整理 X-Frame-Options #反劫持 X-XSS-Protection #开启浏览器防XSS功能 Set X-Frame-Options  CSP X-Conte ...

  2. 【渗透测试】NSA Windows 0day漏洞+修复方案

    这个漏洞是前段时间爆出来的,几乎影响了全球70%的电脑,不少高校.政府和企业都还在用Windows服务器,这次时间的影响力堪称网络大地震. ------------------------------ ...

  3. URL存在http host头攻击漏洞-修复方案

    URL存在http host头攻击漏洞-修复方案 spring boot使用注解的方式 -- 第一步:在自定义filter类上添加如下注释 package com.cmcc.hy.mobile.con ...

  4. Struts2 高危漏洞修复方案 (S2-016/S2-017)

    近期Struts2被曝重要漏洞,此漏洞影响struts2.0-struts2.3所有版本,可直接导致服务器被远程控制从而引起数据泄漏,影响巨大,受影响站点以电商.银行.门户.政府居多. 官方描述:S2 ...

  5. 网站sql注入漏洞修复方案之metinfo 6.1.0系列

    近日,我们SINE安全对metinfo进行网站安全检测发现,metinfo米拓建站系统存在高危的sql注入漏洞,攻击者可以利用该漏洞对网站的代码进行sql注入攻击,伪造恶意的sql非法语句,对网站的数 ...

  6. Linux Glibc库严重安全漏洞修复方案通知(腾讯开发者社区)

    如何查看当前glibc的版本号? rpm -aq | grep glibc 尊敬的用户:       您好!2015年1月28日, 腾讯云安全情报监测到LinuxGlibc库存在一处严重安全漏洞,可以 ...

  7. DEDECMS 漏洞修复方案

    目录 DEDECMS支付模块注入漏洞 漏洞文件: /include/payment/alipay.php 漏洞描述: 对输入参数$_GET['out_trade_no']未进行严格过滤 修复方案: 对 ...

  8. struts2架构网站漏洞修复详情与利用漏洞修复方案

    struts2从开发出来到现在,很多互联网企业,公司,平台都在使用apache struts2系统来开发网站,以及应用系统,这几年来因为使用较多,被攻击者挖掘出来的struts2漏洞也越来越,从最一开 ...

  9. 【渗透测试】Squirrelmail远程代码执行漏洞+修复方案

    最近网上有点不太平,爆出各种漏洞,等下会把近期的漏洞复现一下,发出来.安全圈的前辈总是默默的奉献,在这里晚辈们只能站在巨人的肩膀上,跟紧前辈们的步伐,走下去. -------------------- ...

随机推荐

  1. LOJ #2359. 「NOIP2016」天天爱跑步(倍增+线段树合并)

    题意 LOJ #2359. 「NOIP2016」天天爱跑步 题解 考虑把一个玩家的路径 \((x, y)\) 拆成两条,一条是 \(x\) 到 \(lca\) ( \(x, y\) 最近公共祖先) 的 ...

  2. python 去重

    List: listA = ['python','python','言','是','一','门','动','态','语','言'] print sorted(set(listA), key = lis ...

  3. 【dfs】P1331 海战

    题目描述 在峰会期间,武装部队得处于高度戒备.警察将监视每一条大街,军队将保卫建筑物,领空将布满了F-2003飞机.此外,巡洋船只和舰队将被派去保护海岸线.不幸的是因为种种原因,国防海军部仅有很少的几 ...

  4. NOIP2013华容道(BFS+乱搞)

    n<=30 * m<=30 的地图上,0表示墙壁,1表示可以放箱子的空地.q<=500次询问,每次问:当空地上唯一没有放箱子的空格子在(ex,ey)时,把位于(sx,sy)的箱子移动 ...

  5. os模块总结

    学了忘,忘了学,忘了就来看一下...唯一进步的就是这次学的比上次更快了- - 最常用的几个: os.getcwd()   # os.path.abspath(os.path.dirname(__fil ...

  6. js 判断所选时间(或者当前时间)是否在某一时间段的实现代码

    var time_range = function (beginTime, endTime, nowTime) { var strb = beginTime.split (":") ...

  7. 编译 pcre - 开源的正则表达式(库)

    PCRE百科介绍: PCRE(Perl Compatible Regular Expressions)是一个Perl库,包括 perl 兼容的正则表达式库.这些在执行正规表达式模式匹配时用与Perl ...

  8. django 分类搜索(根据不同的单选框,改变form提交的地址)

    前端html部分form <form id="searchform" action="#" method="get" class=&q ...

  9. Button中command后面函数添加参数解决方法

    添加按钮,按钮的功效由command=函数名,后面的函数实现,但是如果直接写函数名,碰上那些需要参数的函数就会出错 因此,有个简单方法command=lambda:函数名(参数1,参数2.....) ...

  10. 斯坦福大学公开课机器学习: machine learning system design | error analysis(误差分析:检验算法是否有高偏差和高方差)

    误差分析可以更系统地做出决定.如果你准备研究机器学习的东西或者构造机器学习应用程序,最好的实践方法不是建立一个非常复杂的系统.拥有多么复杂的变量,而是构建一个简单的算法.这样你可以很快地实现它.研究机 ...