主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)-RC4密码套件

主机漏洞-RC4密码套件 验证方式：17 验证语句：openssl s_client -connect 网站地址 -cipher RC4 或者使用nmap进行测试 nmap -p 443 script=ssl-enum-ciphers TARGET确保服务器支持密码类型不使用RC4。 如下图：如果能够查看到证书信息，那么就是存在风险漏洞 如果显示sslv3 alerthandshake failure，表示改服务器没有这个漏洞。 修补方式： 服务器 对于NGINX的修补 修改nginx配置文件中的 ssl_ciphers项 ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"；ssl_prefer_server_ciphers on； 重新加载： $sudo /etc/init.d/nginx reload 对于apache的修复 打开配置文件 $ sudo vi /etc/httpd/conf.d/ssl.conf 修改配置 SSLCipherSuiteHIGH:MEDIUM:!aNULL:!MD5；!RC4 $ sudo /etc/init.d/httpd restart 对于TOMCAT的修复 server.xml 中SSL connector加入以下内容: SSLEnabled="true"sslEnabledProtocols="TLSv1，TLSv1.1，TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256，TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA，TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384，TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA，TLS_ECDHE_RSA_WITH_RC4_128_SHA，TLS_RSA_WITH_AES_128_CBC_SHA256，TLS_RSA_WITH_AES_128_CBC_SHA，TLS_RSA_WITH_AES_256_CBC_SHA256，TLS_RSA_WITH_AES_256_CBC_SHA，SSL_RSA_WITH_RC4_128_SHA" tomcat例子：