全部产品
阿里云办公

【漏洞公告】CVE-2016-0800:DROWN 中间人劫持漏洞

更新时间:2017-11-09 18:50:16

漏洞描述

国外安全专家发现了一种名为 DROWN 的中间人攻击方式,漏洞编号为 CVE-2016-0800。

若您的服务器支持以 SSLv2 协议和 EXPORT 加密算法进行安全连接,则攻击者可以截获客户端和服务端的通信数据,并利用穷举的方式破解出被加密的原文,实现中间人劫持。

漏洞修复

注意:建议您在进行修复前创建服务器快照,以免修复失败造成损失。

  • httpd 和 nginx 用户

    打开 httpd、nginx 的配置文件,修改/添加如下 SSL 加密算法:

    1. nginx ssl_ciphers HIGH:!aNULL:!MD5:!EXPORT56:!EXP;
    2. httpd SSLCipherSuite HIGH:!aNULL:!MD5:!EXPORT56:!EXP

    修改完毕后,请重启 Web 服务。

  • Tomcat 用户

    打开 Tomcat 的配置文件 server.xml,在 SSL 对应的配置项中添加如下属性:

    1. tomcat 5,6:
    2. SSLEnabled=”true
    3. sslProtocols=”TLSv1,TLSv1.1,TLSv1.2
    4. ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA
    5. tomcat >=7:
    6. SSLEnabled=”true
    7. sslEnabledProtocols=”TLSv1,TLSv1.1,TLSv1.2
    8. ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA

    修改完毕后,请重启 Tomcat 服务。

  • IIS 用户

    在注册表中禁用不安全的加密算法和不安全的 SSL 协议。操作步骤如下:

    1. 单击 开始 > 运行, 输入 “regedit”,然后回车。

    2. 前往如下路径: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL

    3. 打开 Protocols\PCT 1.0\Server,右击空白处新建 字符串值,并命名为 Enabled。双击该键值,填入 0,并确定。

    4. 参照步骤 iii,分别对以下键执行同样操作。

    • Protocols\SSL 2.0\Server
    • Ciphers\DES 56/56
    • Ciphers\RC2 40/128
    • Ciphers\RC2 128/128
    • Ciphers\RC4 40/128
    • Ciphers\RC4 56/128
    • Ciphers\RC4 128/128

    修改完成后,重启电脑使设置生效。

  • 更新 OpenSSL

    确认 443 端口被哪个服务调用,然后更新该程序所依赖的 OpenSSL(不一定是系统自带的 OpenSSL)。

    • 推荐把 OpenSSL 更新到最新版本
    • OpenSSL 1.0.2 的用户应升级到 1.0.2g 或以上
    • OpenSSL 1.0.1 的用户应升级到 1.0.1s 或以上
    • OpenSSL 1.0.0 或以下的用户应升级到 1.0.1s 或以上

    更新完毕后,请重启调用 443 端口服务。