SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】

2.2 漏洞详情

  SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】 【可验证】
详细描述TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。

TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。

<*来源:Karthik Bhargavan
Gaetan Leurent

链接:https://www.openssl.org/news/secadv/20160922.txt
*>
解决办法建议:避免使用IDEA、DES和3DES算法

1、OpenSSL Security Advisory [22 Sep 2016]
链接:https://www.openssl.org/news/secadv/20160922.txt
请在下列网页下载最新版本:
https://www.openssl.org/source/
2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法
主要是修改conf文件
3、Windows系统可以参考如下链接:
https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

https://docs.microsoft.com/zh-cn/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel
验证方法根据SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理,通过发送精心构造的数据包到目标服务,根据目标的响应情况,验证漏洞是否存在
威胁分值7.5
危险插件
发现日期2016-08-31
CVE编号CVE-2016-2183
BUGTRAQ92630
NSFOCUS34880
CNNVD编号CNNVD-201608-448
CNCVE编号CNCVE-20162183
CVSS评分5.0
CNVD编号CNVD-2016-06765

 解决方案:上面已经提到了,服务器是linux系统

一、升级OpenSSL 确保您的OpenSSL库是最新的

默认情况下,使用 OpenSSL 1.0.1g 之前版本的服务器不容易受到攻击

版本升级如果是 1.1.0升级到1.1.0a(最低这个版本)

如果是 1.0.2升级到 1.0.2i

OpenSSL 1.1.0 users should upgrade to 1.1.0a
OpenSSL 1.0.2 users should upgrade to 1.0.2i
OpenSSL 1.0.1 users should upgrade to 1.0.1u

二、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法

1.打开Nginx的配置文件,通常位于/etc/nginx/nginx.conf或/usr/local/nginx/conf/nginx.conf。

在配置文件中找到ssl_ciphers参数,该参数用于指定支持的加密算法。

修改ssl_ciphers参数的值,将其设置为不包含DES算法的安全加密算法。例如,你可以将其设置为只支持强加密算法的列表,如下所示:

ssl_ciphers EECDH+AESGCM:EECDH+AES256:EECDH+AES128:-DHE-RSA-AES256-SHA:-DHE-RSA-AES128-SHA:-DES-CBC3-SHA:!RC4:!aNULL:!eNULL:!LOW:!3DES:!MD5:!EXP:!PSK:!SRP:!DSS;

这个例子中,!DES-CBC3-SHA表示不包括DES-CBC3-SHA算法,即不包括DES算法。 

保存并关闭配置文件。

重新加载或重启Nginx服务

升级OpenSSL参考

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理-CSDN博客

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/844108.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

我想给儿子开发一个手机应用

我想给儿子开发一个手机应用&#xff0c;不知道从何入手&#xff0c;利用AI获取的大概方向&#xff1a; 在开发一款针对少儿的手机应用&#xff08;App&#xff09;时&#xff0c;内容方向的选择至关重要。以下是一些建议的方向&#xff0c;它们结合了当前的市场趋势、儿童教育…

自动化使用 ChatGPT 生成 PPT 大纲 - 基于 Python 和 PyAutoGUI

这篇文章将指导您利用 Python 的 pyautogui 库创建一个自动化的脚本&#xff0c;帮助您使用 ChatGPT 生成公司智能管理平台的 PPT 大纲。该脚本将打开 Chrome 浏览器&#xff0c;访问 ChatGPT 并输入相应的提示词&#xff0c;让 ChatGPT 为您创建 PPT 大纲。 C:\pythoncode\ne…

QGis3.34.5工具软件保存样式,软件无反应问题

在使用QGis软件保存SLD样式的时候&#xff0c;每次保存样式&#xff0c;软件都进入无反应状态&#xff0c;导致无法生成样式文件 百度中多次查询问题点&#xff0c;终未能在在3.34.5这个版本上解决问题。 考虑到可能是软件本身问题&#xff0c;于是删除了3.34.5这个版本&#x…

SAP ABAP MD04屏幕增加:增加列

需求:增加显示销售订单送达方 主要使用二代增强出口:M61X0002 事务码T-code:CMOD 填写描述,保存到对应的包下 分配增强到项目下 激活组件,激活后效果如下 编写ZXM61U04 SAP留出的按钮,填写描述 button1_ez = 送达方. 编写ZXM61U03 *&-------------------------…

Java版招投标管理系统源码:优化流程,提升效率,实现全方位项目管理

在现今日益竞争激烈的招标市场中&#xff0c;企业需要一款强大而灵活的招投标管理系统来优化流程、提升效率。我们的招投标管理系统正是为此而生&#xff0c;它集门户管理、立项管理、采购项目管理、公告管理、考核管理、报表管理、评审管理、企业管理、采购管理和系统管理等多…

解决git status提示error bad signature 0x00000000

问题描述&#xff1a; 操作git的时候电脑卡了&#xff0c;重启电脑后git status就提示bad signature 0x00000000&#xff0c;index file corrupt错误&#xff0c;如下&#xff1a; 解决办法&#xff1a; rm -f .git/index git reset

【赠书第25期】C#项目开发实战(微视频版)

文章目录 前言 1 项目构思与需求分析 1.1 项目构思 1.2 需求分析 2 系统设计 2.1 系统架构设计 2.2 数据库设计 2.3 接口设计 3 编码实现 3.1 环境搭建 3.2 编码规范 3.3 编码实现 4 测试与部署 4.1 单元测试 4.2 系统测试 4.3 部署与上线 5 总结与展望 6 推…

[面经] 西山居非正式面试(C++)

前言 这次面试是我第一次面试&#xff0c;而且我也并没有做好准备&#xff0c;应该说几乎就是临场发挥&#xff0c;面试的时间与我推测的相差太大&#xff0c;几乎就是做完简历的下一天就马上去面试了&#xff0c;有不少地方自己没能很好的答出&#xff0c;故做此记录。 关于…

代码随想录算法训练营第五十四天||392.判断子序列、115.不同的子序列

提示&#xff1a;文章写完后&#xff0c;目录可以自动生成&#xff0c;如何生成可参考右边的帮助文档 文章目录 一、392.判断子序列 思路 二、115.不同的子序列 思路 一、392.判断子序列 给定字符串 s 和 t &#xff0c;判断 s 是否为 t 的子序列。 字符串的一个子序列是…

力扣算法之1070. 产品销售分析 III

力扣传送门 题解 选出每个售出过的产品 第一年 销售的 产品 id、年份、数量 和 价格&#xff0c;很明显就是个排序问题 我的解 SELECT product_id,year as first_year,quantity,price FROM ( SELECT sale_id,RANK() OVER(PARTITION BY product_id ORDER BY [year] asc ) A…

第五周:坦诚是领导力的根基

1. 懂得很多道理&#xff0c;依然过不好这一生 “纸上得来终觉浅&#xff0c;绝知此事要躬行。” 我们往往就是这样&#xff0c;开导别人的时候&#xff0c;口若悬河&#xff0c;心灵鸡汤信手拈来&#xff0c;自以为洞穿了他人困境的本质&#xff0c;并且找到了解决办法&#x…

TinyChat: Visual Language Models Edge AI 2.0

TinyChat: Visual Language Models & Edge AI 2.0 要点 了解TinyChat和AWQ最新的技术发展。在边缘部署语言理解模型(LSTM)后&#xff0c;借助于视觉语言模型(VLM)&#xff0c;可以为LLM提供更好地处理图像输入的能力&#xff0c;从而极大方便了文字对话问答、图片标题生成…

C#中结构struct能否继承于一个类class,类class能否继承于一个struct

C#中结构struct能否继承于一个类class&#xff0c;类class能否继承于一个struct 答案是&#xff1a;都不能。 第一种情行&#xff0c;尝试结构继承类 报错&#xff1a;接口列表中的类型"XX"不是接口interface。 一般来说&#xff0c;都是结构只能实现接口&#x…

【第四节】C++的派生与继承

目录 一、继承特性 二、派生类的定义格式 三、派生类的继承方式 3.1 三种继承方式概述 3.2 接口继承和实现继承 四、派生类的构造和析构函数 五、类的成员重定义 六、多重继承 6.1 多继承 6.2 多继承中的二义性问题 七、虚基类 八、总结 一、继承特性 在生物学中&a…

HDFS RPC响应调优:FairCallQueue调优

参考材料: Apache Hadoop 3.4.0 – Fair Call Queue Guide 一、案例 在 core-site.xml 配置文件中添加如下配置项&#xff1a; <property><name>ipc.8020.callqueue.impl</name><value>org.apache.hadoop.ipc.FairCallQueue</value> </pr…

vue学习汇总

目录 一、vue基本语法 1.插值表达式 {{}} 2.显示数据(v-text)和(v-html) 3.事件处理(v-on) 4.循环遍历(v-for) 5.判断语法(v-if) 6.元素显示与隐藏(v-show) 7.动态设置属性(v-bind) 8.数据双向绑定(v-model) 9.计算属性 二、vue组件 1.使用组件的三个步骤 2.注册组…

有趣的css - 列表块加载动效

大家好&#xff0c;我是 Just&#xff0c;这里是「设计师工作日常」&#xff0c;今天分享的是用 css 打造一个极简的列表块加载动效。 最新文章通过公众号「设计师工作日常」发布。 目录 整体效果核心代码html 代码css 部分代码 完整代码如下html 页面css 样式页面渲染效果 整…

使用Ollama和Open WebUI管理本地开源大模型的完整指南

&#x1f3e1;作者主页&#xff1a;点击&#xff01; &#x1f916;AI大模型部署与应用专栏&#xff1a;点击&#xff01; ⏰️创作时间&#xff1a;2024年5月27日12点20分 &#x1f004;️文章质量&#xff1a;96分 目录 ✨️Open-WebUI介绍 优点 &#x1f4a5;部署教程…

计算机视觉与深度学习实战:以Python为工具,基于Hough变化的答题卡识别

一、引言 在信息技术飞速发展的今天,计算机视觉与深度学习已成为许多领域不可或缺的技术。特别是在教育领域,答题卡识别技术的应用极大地提高了阅卷效率和准确性。本文将详细介绍如何利用Python作为工具,结合计算机视觉和深度学习的技术,基于Hough变换实现答题卡识别的实战…

Linux命令 jps(Java Process Status)解释

文章目录 1、第一种解释2、第二种解释3、第三种解释 1、第一种解释 jps 命令本身并不是一个标准的 Unix/Linux 命令&#xff0c;但您可能是想提到 jps 的一个变种或误写了 jps 为 jps&#xff0c;而实际上可能是想提及 jps&#xff08;Java Virtual Machine Process Status To…