国外安全专家发现了一种名为 DROWN 的中间人攻击方式,漏洞编号为 CVE-2016-0800。
若您的服务器支持以 SSLv2 协议和 EXPORT 加密算法进行安全连接,则攻击者可以截获客户端和服务端的通信数据,并利用穷举的方式破解出被加密的原文,实现中间人劫持。
注意:建议您在进行修复前创建服务器快照,以免修复失败造成损失。
httpd 和 nginx 用户
打开 httpd、nginx 的配置文件,修改/添加如下 SSL 加密算法:
nginx ssl_ciphers HIGH:!aNULL:!MD5:!EXPORT56:!EXP;
httpd SSLCipherSuite HIGH:!aNULL:!MD5:!EXPORT56:!EXP
修改完毕后,请重启 Web 服务。
Tomcat 用户
打开 Tomcat 的配置文件 server.xml
,在 SSL 对应的配置项中添加如下属性:
tomcat 5,6:
SSLEnabled=”true”
sslProtocols=”TLSv1,TLSv1.1,TLSv1.2”
ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA”
tomcat >=7:
SSLEnabled=”true”
sslEnabledProtocols=”TLSv1,TLSv1.1,TLSv1.2”
ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA”
修改完毕后,请重启 Tomcat 服务。
IIS 用户
在注册表中禁用不安全的加密算法和不安全的 SSL 协议。操作步骤如下:
单击 开始 > 运行, 输入 “regedit”,然后回车。
前往如下路径: HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
打开 Protocols\PCT 1.0\Server
,右击空白处新建 字符串值,并命名为 Enabled。双击该键值,填入 0,并确定。
参照步骤 iii,分别对以下键执行同样操作。
Protocols\SSL 2.0\Server
Ciphers\DES 56/56
Ciphers\RC2 40/128
Ciphers\RC2 128/128
Ciphers\RC4 40/128
Ciphers\RC4 56/128
Ciphers\RC4 128/128
修改完成后,重启电脑使设置生效。
更新 OpenSSL
确认 443 端口被哪个服务调用,然后更新该程序所依赖的 OpenSSL(不一定是系统自带的 OpenSSL)。
更新完毕后,请重启调用 443 端口服务。
在文档使用中是否遇到以下问题
更多建议
匿名提交