主机缝隙-SSL/TLS 受诫礼(BAR-MITZVAH)进犯缝隙(CVE-2015-2808)-RC4密码套件

[db:作者]

主机缝隙-RC4密码套件
考证方式：17
考证语句：openSSL s_client -connect 网站地址 -cipher RC4
大概利用nmap停止测试
nmap -p 443 –script=ssl-enum-ciphers TARGET确保办事器支持密码范例不利用RC4预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
以下图：
假如可以检察到证手札息假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，那末就是存在风险缝隙
假如显现sslv3 alerthandshake failure假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，暗示改办事器没有这个缝隙预警可以参考下述几点停止排查和优化需要将这两个部分毗连起来。
修补方式：
办事器
对于NGINX的修补
点窜nginx设置文件中的 ssl_ciphers项
ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
重新加载：
$sudo /etc/init.d/nginx reload
对于apache的修复
翻开设置文件
$ sudo vi /etc/httpd/conf.d/ssl.conf
点窜设置
SSLCipherSuite
HIGH:MEDIUM:!aNULL:!MD5;!RC4
$ sudo /etc/init.d/httpd restart
对于TOMCAT的修复
server.xml 中SSL connector加入以下内容:
SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
tomcat例子：
;
对于IIS修补
将下面的内容保存为fix.reg假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，并双击运转来点窜注册表：
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersDES56/56]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersNULL]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC240/128]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC256/128]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC440/128]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC456/128]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC464/128]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsPCT1.0Server]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL2.0Server]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL3.0Server]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL3.0Client]"DisabledByDefault"=dword:00000001
客户端阅读器
对于chrome阅读器的修补
@linux
封闭阅读器假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，在terminal中间接输入号令运转
$ google-chrome–cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
@windows
快速图标->右键->在方针前面加入引号内的内容 “–cipher-suite-blacklist=0×0004,0×0005,0xc011,0xc007”
重启阅读器生效
@macos
在terminal种输入:
/Applications/GoogleChrome.app/Contents/MacOS/GoogleChrome--cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
对于firefox（全平台）
在地址栏输入 about:config 回车假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，搜索框输入rc4假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，双击 value 的值便可以改成 false而且制止rc4相关的ssl传输假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，以下图：
对于IE(只在windows平台)
参考处理法子：https://www.sslshopper.com/article-how-to-disable-ssl-2.0-in-iis-7.html
运转->regedit->对下面键值停止设备：
·[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4128/128]
"Enabled"=dword:00000000
·[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC440/128]
·"Enabled"=dword:00000000
·[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC456/128]
·"Enabled"=dword:00000000
大概将将下面内容保存为fix.reg假如您的虚拟主机处事出现流量超标预警可以参考下述几点停止排查和优化，然后双击运转fix.reg停止注册表点窜：
WindowsRegistry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4128/128]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC440/128]"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC456/128]"Enabled"=dword:00000000
原文链接：https://www.westidc.top/archives/589