POODLE漏洞修复

发布时间:2018/5/13 18:54:54 打印 字号:

5b8081a6e21c5427921a3bfad13e49a076e544ca.png

关于SSL POODLE漏洞

      POODLE = Padding oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。

      从本质上说,这是SSL设计上的缺陷,SSL先认证再加密是不安全的。


      

如何检测漏洞
可以是通过在线检测工具:https://www.ssllabs.com/ssltest/  来进行检测。


修复措施:
禁用sslv3协议
不同的web server不尽相同。这边列举主流的服务器的禁用方式


Nginx服务器:
注意:nginx和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

  1. ssl_protocols TLSv1 TLSv1.1 TLSv1.2; 

  2. ssl_ciphers AESGCM:ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL;

  3.  

复制代码
apache服务器:
注意:apache和openssl套件版本过低可能会导致无法启用新型加密套件和算法,请升级最新版本。
(openssl1.0.1+版本支持TLS1.1和TLS1.2协议)

apache2.X版本:

  1. SSLProtocol  all -SSLv2 -SSLv3

  2. SSLCipherSuite ALL:!DH:!EXPORT:!RC4:+HIGH:!MEDIUM:!LOW:!aNULL:!eNULL

复制代码
Tomcat服务器:
JDK版本过低也会带来不安全漏洞,请升级JDK为最新版本。升级JDK风险请安按照系统升级风险酌情考虑。
(先备份再配置,低版本的配置后有启动不了的风险,请升级tomcat和jdk版本,JDK1.7及以上支持TLS1.2协议)
Tomcat 6 (prior to 6.0.38)

  1. <Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

  2.                maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

  3.      keystoreFile="keystore/domain.jks"  keystorePass="证书密码"

  4.                clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2"

  5.                 ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

  6.                                 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

  7.                                 TLS_RSA_WITH_AES_128_CBC_SHA256,

  8.                                 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

  9.                                 TLS_RSA_WITH_3DES_EDE_CBC_SHA,

  10.                                 TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />

Tomcat 7 and later

  1.   < Connector port="443" protocol="org.apache.coyote.http11.Http11Protocol"

  2.                maxThreads="150" SSLEnabled="true" scheme="https" secure="true"

  3.                keystoreFile="keystore/SSL.jks"  keystorePass="证书密码"

  4.                clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

  5.                ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,

  6.                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,

  7.                                TLS_RSA_WITH_AES_128_CBC_SHA256,

  8.                                TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,

  9.                                TLS_RSA_WITH_3DES_EDE_CBC_SHA,

  10.                                TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA" />


使用apr的tomcat(windows环境路径请使用“\”)

  1. <Connector port="443" maxHttpHeaderSize="8192"

  3.               maxThreads="150"

  4.                protocol="HTTP/1.1"

  5.                enableLookups="false" disableUploadTimeout="true"

  6.                acceptCount="100" scheme="https" secure="true"

  7.                SSLEnabled="true"

  8.                sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

  9.                SSLCertificateFile="conf/2_domian.com.crt"

  10.                SSLCertificateKeyFile="conf/3_domian.com.key"

  11.                SSLCertificateChainFile="conf/1_root_bundle.crt" />


IIS服务器:
使用我们的套件工具,按照如下图进行修复。
下载地址:
windows server 2008 https://www.nartac.com/Downloads/IISCrypto/IISCrypto.exe
windows server 2012 https://www.nartac.com/Downloads/IISCrypto/IISCrypto40.exe
备注:windows server 2003不支持tls1.1和1.2请升级至2008 R2或2012

150840lpxm27umxmamki8p.jpg

获取优惠报价
SSL证书 (HTTPS证书)
EV SSL证书
OV SSL证书
DV SSL证书
通配符SSL证书
多域名SSL证书
单域名SSL证书
数字证书 (DocSign证书)
代码签名证书
S/MIME邮件证书
PDF/Office文档签名证书
解决方案 (Solution)
SSLCloud证书云监控
MPKI SSL证书管理
HTTPS全站加密
加密无处不在方案
SSL证书安全评估
HSTS防劫持
技术支持
SSL工具
下载中心
帮助中心
SSL文档
Web服务器
网站建设
常见问题
代码签名证书
S/MIME
SSL工具
SSL证书工具
DNS工具
CSR工具
SSL漏洞检测
SSL证书辅助工具
SSL证书签章工具
新闻中心
微信人工客服
微博
联系我们
Tel-0512-56969630

Copyright © 1998 - 2023 Gworg, Inc. All Rights Reserved. 江苏光网数字认证有限公司版权所有

苏ICP备15058404号 苏公网安备32058202010008号