SSL/TLS协议信息泄露漏洞(CVE-2016-2183)、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)修复方法

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)

SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)

修复方法

一、漏洞说明：

通过绿盟漏洞检测工具扫描发现Windows系统存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183)、SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)、SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)。
截图如下：

---

二、说明

• 修复方法主要是参考链接中的方法。
• 参考链接的修复方法主要是解决*SSL/TLS协议信息泄露漏洞(CVE-2016-2183)这一个漏洞，而SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)与SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)*同样适用。
• 参考其他资料，*SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)也可以通过在SSL密码套件中除开RC4的选项解决；而SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)估计是因为扫到SSL/TLS协议信息泄露漏洞(CVE-2016-2183)*而显示的误报，因为通过修复方法配置服务器后，重新扫就没有扫到了。

参考链接
https://www.cnblogs.com/xyb0226/p/14205536.html

---

三、修复方法

1、使用gpedit.msc进入组策略编辑器

2、依次打开计算机配置->管理模块->网络->SSL配置设置，打开密码套件顺序

3、选择“已启用”选项

4、在“SSL密码套件”下修改SSL密码套件算法，仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件
（备注：建议先将SSL密码套件选项里的内容复制到txt文档中保存，以便恢复，再删除原有内容替换为以下内容，修改后，点击“应用”、“确定”，即可）

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA

5、重启服务器

---