Remove From My Forums

win2016 关于SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)和SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)问题

问题
0

登录进行投票

windows server 2016安装完成，更新到最新补丁，检测出现如下两个漏洞提示，请确定下漏洞是否确实存在，并且提供下解决方案。

SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】
详细描述 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞"，这是RC4算法中的一个缺陷，它能够在某些情况下泄露SSL/TLS加密流量中的密文，从而将账户用户名密码，信用卡数据和其他敏感信息泄露给黑客。
解决办法临时解决方法：

SSL/TLS
--------
1、禁止apache服务器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改为如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重启apache服务
2、关于nginx加密算法
1.0.5及以后版本，默认SSL密码算法是HIGH:!aNULL:!MD5
0.7.65、0.8.20及以后版本，默认SSL密码算法是HIGH:!ADH:!MD5
0.8.19版本，默认SSL密码算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM
0.7.64、0.8.18及以前版本，默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP
低版本的nginx或没注释的可以直接修改域名下ssl相关配置为
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4";
ssl_prefer_server_ciphers on;
需要nginx重新加载服务

3、关于lighttpd加密算法
在配置文件lighttpd.conf中禁用RC4算法，例如：
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

重启lighttpd 服务。

4、tomcat参考:
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html

5、浏览器手工屏蔽方案
Windows 用户：
1）完全关闭 Chrome 浏览器和Mozilla Firefox浏览器
2）复制一个平时打开 Chrome 浏览器(Mozilla Firefox浏览器)的快捷方式
3）在新的快捷方式上右键点击，进入属性
4）在「目标」后面的空格中字段的末尾输入以下命令 --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Mac OS X 用户：
1）完全关闭 Chrome 浏览器
2）找到本机自带的终端（Terminal）
3）输入以下命令：/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007

Linux 用户：
1）完全关闭 Chrome 浏览器
2）在终端中输入以下命令：google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
威胁分值 4.3
危险插件否
发现日期 2015-03-31
CVE编号 CVE-2015-2808
BUGTRAQ 73684,91787
NSFOCUS 30491
CNNVD编号 CNNVD-201503-654
CNCVE编号 CNCVE-20152808
CVSS评分 4.3
CNVD编号 CNVD-2015-02171

  SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】
详细描述安全套接层（Secure Sockets Layer，SSL），一种安全协议，是网景公司（Netscape）在推出Web浏览器首版的同时提出的，目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全（Transport Layer Security），IETF对SSL协议标准化（RFC 2246）后的产物，与SSL 3.0差异很小。

SSL/TLS内使用的RC4算法存在单字节偏差安全漏洞，可允许远程攻击者通过分析统计使用的大量相同的明文会话，利用此漏洞恢复纯文本信息。
解决办法建议：避免使用RC4算法

1、禁止apache服务器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改为如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重启apache服务
2、关于lighttpd加密算法
在配置文件lighttpd.conf中禁用RC4算法，例如：
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"
重启lighttpd 服务。

3、Windows系统建议参考官网链接修复：
https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4

威胁分值 4.3
危险插件否
发现日期 2013-03-15
CVE编号 CVE-2013-2566
BUGTRAQ 58796
NSFOCUS 23179
CNNVD编号 CNNVD-201303-335
CNCVE编号 CNCVE-20132566
CVSS评分 4.3
CNVD编号 CNVD-2013-02724

2019年12月30日 3:16

回复

|

引用

全部回复

0

登录进行投票
您好,

您可以通过Windows Update检查并安装最新的更新以及修复程序来检测是否能够解决您的问题。

更多细节可以参考以下链接获取帮助：

windows server 2016 漏洞问题

https://social.technet.microsoft.com/Forums/office/zh-CN/cea898dc-9088-4169-b6c0-8af27086521a/windows-server-2016-28431279343838239064?forum=winserver8zhcn

此外，确实没有单独针对 Server 2016的补丁以供下载，但是禁用RC4的方法是一样的，你可以手动修改注册表达到效果。您提到的Windows官网的链接中的安全更新程序适用于Server 2016。

如下图所示：

注意：你所提及的检测结果及检测工具并非微软官方产品，建议联系该程序的供应商/技术支持，确认该检测的具体机制及结果方案。

希望能帮助到您。祝您生活愉快!

Kiki

如果认为回帖者的回答有所帮助，请将之标记为答复，这样可以帮助更多的用户获取有效信息。

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 Kiki ShiMicrosoft contingent staff 2020年1月1日 9:06
2019年12月31日 6:21

回复

|

引用
0

登录进行投票

您好！
已经反复刷新windows update到最新的补丁程序

在官方网站看到相关描述如下：

可以过滤RC弱口令之类的漏洞，是否这个问题微软已经决绝了？

不是说要禁用RC4算法。

https://docs.microsoft.com/zh-cn/windows/win32/secauthn/cipher-suites-in-schannel?redirectedfrom=MSDN

https://docs.microsoft.com/zh-cn/windows/win32/secauthn/tls-cipher-suites-in-windows-8-1

Windows Server 2016 and Windows 10, version 1607: For information about supported cipher suites, see TLS Cipher Suites in Windows 10 v1607

Allowed when the application passes SCH_USE_STRONG_CRYPTO: The Microsoft Schannel provider will filter out known weak cipher suites when the application uses the SCH_USE_STRONG_CRYPTO flag. In Windows 10, version 1607 and Windows Server 2016, in addition to RC4, DES, export and null cipher suites are filtered out.

2019年12月31日 7:39

回复

|

引用
0

登录进行投票
您好，

对于RC弱口令之类的漏洞的具体信息，由于论坛支持的范围有限，建议您向Microsoft支持联系开一个case以帮助您更好的解决问题，链接如下所示：

https://support.microsoft.com/zh-cn/supportforbusiness/productselection

希望能帮助到您！

祝您生活愉快~

Kiki

如果认为回帖者的回答有所帮助，请将之标记为答复，这样可以帮助更多的用户获取有效信息。

针对Windows 2008/2008R2的扩展支持将于2020年结束，之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》，把握良机完成云迁移并实现业务现代化。
- 已编辑 Kiki ShiMicrosoft contingent staff 2020年1月1日 9:06
2020年1月1日 9:05

回复

|

引用

询问者

win2016 关于SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)和SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)问题

问题

全部回复