Openssl FREAK 中间人劫持漏洞

http://liuqunying.blog.51cto.com/3984207/1404851
https://sobug.com/article/detail/15

一:检测是否存在该漏洞
    https远程检查方法:
        openssl s_client -connect domainname:443 -cipher EXPORT
        显示:
            12313:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:s23_clnt.c:583:表明网站暂时不受到freak的影响
二:修复方案
    如果生产环境无法联外网或者变更配置等,可以采取临时的方案
        1.禁用出口级弱加密算法,在命令行执行
            openssl ciphers MEDIUM
        2.禁止APACHE使用弱加密算法
            在ssl里面增加”SSLCipherSuite HIGH:!aNULL:!MD5:!EXP”
        3.NGINX使用SSL加密算法
            1.0.5及以后版本,默认SSL密码算法是HIGH:!aNULL:!MD5
            0.7.65、0.8.20及以后版本,默认SSL密码算法是HIGH:!ADH:!MD5
            0.8.19版本,默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
            0.7.64、0.8.18及以前版本,默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
            低版本的nginx或没有注释的可以修改为ssl_ciphers         HIGH:!aNULL:!MD5;
        4.TOMCAT修改server.xml:
            tomcat 5,6:
            SSLEnabled=”true”
            sslProtocols=”TLSv1,TLSv1.1,TLSv1.2″
            ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
            TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
            TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
            TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
            TLS_ECDHE_RSA_WITH_RC4_128_SHA,
            TLS_RSA_WITH_AES_128_CBC_SHA256,
            TLS_RSA_WITH_AES_128_CBC_SHA,
            TLS_RSA_WITH_AES_256_CBC_SHA256,
            TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA”
            tomcat >=7:
            SSLEnabled=”true”
            sslEnabledProtocols=”TLSv1,TLSv1.1,TLSv1.2″
            ciphers=”TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
            TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SH

此条目发表在Safe分类目录,贴了, 标签。将固定链接加入收藏夹。

发表评论

电子邮件地址不会被公开。 必填项已用*标注