漏洞描述:
见 http://bbs.aliyun.com/read/231806.html
漏洞修复:
注:建议在修复前创建服务器快照,以免修复失败造成损失。
方案一:(httpd & nginx用户,推荐)
打开httpd、nginx的配置文件,修改SSL使用的加密算法:
nginx修改为 ssl_ciphers HIGH:!aNULL:!MD5:!EXPORT56:!EXP;
httpd修改为 SSLCipherSuite HIGH:!aNULL:!MD5:!EXPORT56:!EXP
修改完毕后,请重启WEB服务。
方案二:(tomcat用户,推荐)
打开tomcat的配置文件server.xml,在SSL对应的中添加下列属性:
tomcat 5,6:
SSLEnabled="true"
sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
tomcat >=7:
SSLEnabled="true"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
修改完毕后,请重启tomcat服务。
方案三:(IIS用户,推荐)
在注册表中把不安全的加密算法和不安全的SSL协议禁用。
点击“开始”——“运行”——输入“regedit”——回车
路径定位到 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL,完成下列步骤:
1、打开Protocols\PCT 1.0\Server,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
2、打开Protocols\SSL 2.0\Server,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
3、打开Ciphers\DES 56/56,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
4、打开Ciphers\RC2 40/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
5、打开Ciphers\RC2 128/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
6、打开Ciphers\RC4 40/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
7、打开Ciphers\RC4 56/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
8、打开Ciphers\RC4 128/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
修改完成后,需重启电脑才能生效。
方案四:(IIS用户)
微软官方已经发布针对FREAK漏洞的修复补丁,编号为KB3046049
用户可在自己的服务器上打开“Windows Update”自动更新功能,或自行下载补丁进行安装:
https://www.microsoft.com/en-us/search/DownloadsDrillInResults.aspx?q=KB3046049&cateorder=2_5_1&first=1
安装更新后,需重启电脑才能生效。
方案五:
首先请确认443端口被哪个服务调用,然后更新该程序所依赖的openssl版本。
推荐把openssl版本更新到最新的 1.0.2a (2015-03-19发布)
OpenSSL的1.0.1的用户应该升级到1.0.1m或以上
OpenSSL的1.0.0的用户应该升级到1.0.0r或以上
OpenSSL的0.9.8的用户应该升级到0.9.8zf或以上
更新完毕后,请重启调用443端口的服务。
转自:
(https://help.aliyun.com/knowledge_detail/5995398.html?spm=5176.2020520110.0.0.VI2ZCk#Openssl FREAK 中间人劫持漏洞)
Post Views: 398
jorker
你那个关于翻墙页面的模块,里面的内容访问不了。
admin@jorker
被阿里云屏蔽了 汗…