首页 » 系统运维 » Linux » 正文

【阿里云】Openssl FREAK 中间人劫持漏洞 修复方法

漏洞描述:http://bbs.aliyun.com/read/231806.html

漏洞修复: 

注:建议在修复前创建服务器快照,以免修复失败造成损失。


方案一:(httpd & nginx用户,推荐)

打开httpd、nginx的配置文件,修改SSL使用的加密算法:

nginx修改为  ssl_ciphers HIGH:!aNULL:!MD5:!EXPORT56:!EXP;

httpd修改为  SSLCipherSuite HIGH:!aNULL:!MD5:!EXPORT56:!EXP

修改完毕后,请重启WEB服务。


方案二:(tomcat用户,推荐)

打开tomcat的配置文件server.xml,在SSL对应的中添加下列属性:

tomcat 5,6:

SSLEnabled="true"

sslProtocols="TLSv1,TLSv1.1,TLSv1.2"

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

tomcat >=7:

SSLEnabled="true"

sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

修改完毕后,请重启tomcat服务。


方案三:(IIS用户,推荐)

在注册表中把不安全的加密算法和不安全的SSL协议禁用。

点击“开始”——“运行”——输入“regedit”——回车

路径定位到 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL,完成下列步骤:

1、打开Protocols\PCT 1.0\Server,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。

2、打开Protocols\SSL 2.0\Server,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。

3、打开Ciphers\DES 56/56,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。

4、打开Ciphers\RC2 40/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。

5、打开Ciphers\RC2 128/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。

6、打开Ciphers\RC4 40/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。

7、打开Ciphers\RC4 56/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。

8、打开Ciphers\RC4 128/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。

修改完成后,需重启电脑才能生效。


方案四:(IIS用户)

微软官方已经发布针对FREAK漏洞的修复补丁,编号为KB3046049

用户可在自己的服务器上打开“Windows Update”自动更新功能,或自行下载补丁进行安装:

https://www.microsoft.com/en-us/search/DownloadsDrillInResults.aspx?q=KB3046049&cateorder=2_5_1&first=1

安装更新后,需重启电脑才能生效。


方案五:

首先请确认443端口被哪个服务调用,然后更新该程序所依赖的openssl版本。

推荐把openssl版本更新到最新的 1.0.2a (2015-03-19发布)

OpenSSL的1.0.1的用户应该升级到1.0.1m或以上

OpenSSL的1.0.0的用户应该升级到1.0.0r或以上

OpenSSL的0.9.8的用户应该升级到0.9.8zf或以上

更新完毕后,请重启调用443端口的服务。 



转自:

(https://help.aliyun.com/knowledge_detail/5995398.html?spm=5176.2020520110.0.0.VI2ZCk#Openssl FREAK 中间人劫持漏洞

本文共 2 个回复

  • jorker 2015/12/23 15:47

    你那个关于翻墙页面的模块,里面的内容访问不了。

发表评论

4 + 1 =