常见绿盟扫描主机漏洞及修复方案

1、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)【原理扫描】  中

修复意见:

建议升级openssl来进行修复,openssl-0.98m之后的版本就已经修复了该漏洞,使用了Secure Renegotiation。


2、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)   中

修复意见:

对于NGINX的修补

修改nginx配置文件中的 ssl_ciphers项

ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";

ssl_prefer_server_ciphers on;

重新加载:

$sudo /etc/init.d/nginx reload

对于apache的修复

打开配置文件

$ sudo vi /etc/httpd/conf.d/ssl.conf

修改配置

SSLCipherSuite

HIGH:MEDIUM:!aNULL:!MD5;!RC4

$ sudo /etc/init.d/httpd restart

对于TOMCAT的修复

server.xml 中SSL connector加入以下内容:

SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

3、SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)  中

修复意见:

Apache

在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3: SSLProtocol All -SSLv2 -SSLv3 重启Apache

Nginx

在配置文件中使用: ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 重启Nginx


4、OpenSSL SSL-Death-Alert 拒绝服务漏洞(CVE-2016-8610)

修复版本:

openssl-1.0.2分支的1.0.2i及后续版本

openssl-1.1.0分支的1.1.0a及后续版本


5、服务器支持 SSL Insecure Renegotiation (CVE-2009-3555)

修复版本:openssl-0.98m之后的版本

 


6、SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

修复方案:

1、升级到最新的JDK版本(8.0以上),就可以立刻解决该问题。

2、如果没有办法升级JDK,可以采用调整服务器加密套件的配置来解决。 Tomcat 基于Java 1.6,请在Server.xml中增加以下ciphers配置:

……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA">

基于Java 7,请在Server.xml中增加以下ciphers配置:

……

ciphers="TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,SSL_RSA_WITH_3DES_EDE_CBC_SHA">

Weblogic

找到config.xml文件,修改编辑其中参数,增加:

TLS_RSA_WITH_3DES_EDE_CBC_SHA

TLS_RSA_WITH_AES_128_CBC_SHA


7、检测到远端rexec服务正在运行中  端口:512  高

建议立即禁用rexecd服务:

*在windows下禁用rexecd服务 打开服务控制面板,在服务列表中找到rexec项,选择停止服务

*在unix系统下禁用rexecd服务 在“/etc/inetd.conf”里注释掉“exec”行并重起inetd服务。


8、服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】

修复方案:

Apache解决办法: 升级到Apache 2.2.15以后版本

IIS解决办法: IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。

Lighttpd解决办法: 建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = “enable”。

Nginx解决办法: 升级至nginx-1.15.2 版本

Tomcat解决办法:

1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配置: (可能会影响Tomcat性能);

2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。 参考链接: https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.htmlhttps://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.htmlhttp://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcathttps://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison

Squid解决办法: 升级到3.5.24以及以后版本


9、OpenSSL TLS心跳扩展协议包远程信息泄露漏洞 (CVE-2014-0160)【原理扫描】

受影响系统:

OpenSSL Project OpenSSL 1.0.2-beta1

OpenSSL Project OpenSSL 1.0.2-beta

OpenSSL Project OpenSSL 1.0.1f

OpenSSL Project OpenSSL 1.0.1e

OpenSSL Project OpenSSL 1.0.1d

OpenSSL Project OpenSSL 1.0.1c

OpenSSL Project OpenSSL 1.0.1b

OpenSSL Project OpenSSL 1.0.1a

OpenSSL Project OpenSSL 1.0.1

不受影响系统:

OpenSSL Project OpenSSL 1.0.2-beta2

OpenSSL Project OpenSSL 1.0.1g

OpenSSL Project OpenSSL 1.0.0

OpenSSL Project OpenSSL 0.9.8

临时解决方法:

NSFOCUS建议您升级到OpenSSL 1.0.1g。但如果您不能立刻安装补丁或者升级,您可以采取以下措施以降低威胁:

* 使用-DOPENSSL_NO_HEARTBEATS选项重编译OpenSSL。

厂商补丁:

OpenSSL Project

—————

Openssl已经发布了Openssl 1.0.1g修复此问题,:

厂商安全公告:

https://www.openssl.org/news/secadv_20140407.txt

http://git.openssl.org/gitweb/?p=openssl.git;a=commit;h=96db9023b881d7cd9f379b0c154650d6c108e9a3

对于OpenSSL 1.0.2 Releases, 厂商表示将会在1.0.2-beta2中修复。

主流Linux发行版也已经发布相关补丁,请尽快升级。


10、Redis 配置不当可直接导致服务器被控制【原理扫描】

修复方案:

防止这个漏洞需要修复以下三处问题

第一:修改redis绑定的IP如果只在本机使用redis服务那么只要绑定127.0.0.1如果其他主机需要访问redis服务那么只绑定客户主机所在网络的接口最好不要绑定0.0.0.0另外需要通过主机内置的防火墙如iptables,或者其他外置防火墙禁止非业务主机访问redis服务

第二:设置访问密码在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。注:修改redis的配置需要重启redis才能生效。

第三:使用普通用户启动redis,并且禁止该用户启动shell,禁止使用root用户启动redis。


11、Redis 未授权访问漏洞【原理扫描】

修复方案:

方法一:可以修改绑定的IP、端口和指定访问者IP具体根据实际情况来设定,也可以直接在服务器防火墙上做设置。

方法二:设置访问密码在 redis.conf 中找到“requirepass”字段,取消注释并在后面填上你需要的密码。注:修改redis的配置需要重启redis才能生效。


12、ZooKeeper 未授权访问【原理扫描】

修复方案:

为ZooKeeper配置相应的访问权限。

方式一:

1)增加一个认证用户addauth digest 用户名:密码明文eg. addauth digest user1:password1

2)设置权限setAcl /path auth:用户名:密码明文:权限eg. setAcl /test auth:user1:password1:cdrwa

3)查看Acl设置getAcl /path

方式二:

setAcl /path digest:用户名:密码密文:权限


13、远端WWW服务支持TRACE请求

修复方案:

管理员应禁用WWW服务对TRACE请求的支持。IISURLScanApacheSource Code ModificationMod_Rewrite ModuleRewriteEngine onRewriteCond {REQUEST_METHOD} ^(TRACE|TRACK)RewriteRule .* – [F]

你可能感兴趣的:(技术文章)