前提概要:10.1.5.117 nginx服務器出現以下兩個漏洞
漏洞1:SSL/TLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱【原理掃描】
解決辦法:查看上篇博客-面對Logjam*** 你該如何保護Debian或Ubuntu服務器?
受影響主機 | 10.1.5.117; |
---|---|
詳細描述 | 安全套接層(Secure Sockets Layer,SSL),一種安全協議,是網景公司(Netscape)在推出Web瀏覽器首版的同時提出的,目的是爲網絡通信提供安全及數據完整性。SSL在傳輸層對網絡連接進行加密。傳輸層安全TLS(Transport Layer Security),IETF對SSL協議標準化(RFC 2246)後的產物,與SSL 3.0差異很小。 當服務器SSL/TLS的瞬時Diffie-Hellman公共密鑰小於等於1024位時,存在可以恢復純文本信息的風險。 DHE man-in-the-middle protection (Logjam) -------------------------------------------------------- https://www.openssl.org/blog/blog/2015/05/20/logjam-freak-upcoming-changes/ https://weakdh.org/sysadmin.html https://en.wikipedia.org/wiki/DiffieE28093Hellman_key_exchange#Security |
解決辦法 | 一. http服務器相關配置 1.首先生成大於1024bit(例如2048bit)的dhkey openssl dhparam -out dhparams.pem 2048 2.然後在對應服務器中配置 Apache2.4.8及以後版本 使用如下配置命令配置(http.conf中或者對應的虛擬主機配置文件中添加) SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}" Apache2.4.7版本 Apache2.2.31版本及以後版本 redhat debian等大多發行版中最新Apache2.2.x 通過把dhparams.pem的內容直接附加到證書文件後 Apache2.4.7之前2.4.x版本 Apache2.2.31之前版本 dhparam默認爲1024bit 無法修改 nginx使用如下命令配置(在對應的虛擬主機配置文件nginx.conf中server字段內添加) ssl_dhparam {path to dhparams.pem} 二.如果服務器配置無法修改,例如Apache2.2.31之前版本,可以禁用DHE系列算法,採用保密性更好的ECDHE系列算法,如果ECDHE不可用可以採用普通的 RSA。 更多解決方案請參考: https://weakdh.org/sysadmin.html |
威脅分值 | 4.3 |
危險插件 | 否 |
發現日期 | 2015-11-26 |
CVSS評分 | 4.3 |
查看nginx配置文件nginx.conf