none
win2016 关于SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)和SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)问题 RRS feed

  • 问题

  • windows server 2016安装完成,更新到最新补丁,检测出现如下两个漏洞提示,请确定下漏洞是否确实存在,并且提供下解决方案。

    SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】
    详细描述 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。
    解决办法 临时解决方法: 

    SSL/TLS 
    -------- 
    1、禁止apache服务器使用RC4加密算法 
    vi /etc/httpd/conf.d/ssl.conf 
    修改为如下配置 
    SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4 
    重启apache服务 
    2、关于nginx加密算法 
    1.0.5及以后版本,默认SSL密码算法是HIGH:!aNULL:!MD5 
    0.7.65、0.8.20及以后版本,默认SSL密码算法是HIGH:!ADH:!MD5 
    0.8.19版本,默认SSL密码算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM 
    0.7.64、0.8.18及以前版本,默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP 
    低版本的nginx或没注释的可以直接修改域名下ssl相关配置为 
    ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES 
    256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC 
    M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; 
    ssl_prefer_server_ciphers on; 
    需要nginx重新加载服务 

    3、关于lighttpd加密算法 
    在配置文件lighttpd.conf中禁用RC4算法,例如: 
    ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4" 

    重启lighttpd 服务。 

    4、tomcat参考: 
    https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html 
    https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html 

    5、浏览器手工屏蔽方案 
    Windows 用户: 
    1)完全关闭 Chrome 浏览器和Mozilla Firefox浏览器 
    2)复制一个平时打开 Chrome 浏览器(Mozilla Firefox浏览器)的快捷方式 
    3)在新的快捷方式上右键点击,进入属性 
    4)在「目标」后面的空格中字段的末尾输入以下命令 --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 

    Mac OS X 用户: 
    1)完全关闭 Chrome 浏览器 
    2)找到本机自带的终端(Terminal) 
    3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 

    Linux 用户: 
    1)完全关闭 Chrome 浏览器 
    2)在终端中输入以下命令:google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
    威胁分值 4.3
    危险插件
    发现日期 2015-03-31
    CVE编号 CVE-2015-2808
    BUGTRAQ 73684,91787
    NSFOCUS 30491
    CNNVD编号 CNNVD-201503-654
    CNCVE编号 CNCVE-20152808
    CVSS评分 4.3
    CNVD编号 CNVD-2015-02171


      SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)【原理扫描】
    详细描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。 

    SSL/TLS内使用的RC4算法存在单字节偏差安全漏洞,可允许远程攻击者通过分析统计使用的大量相同的明文会话,利用此漏洞恢复纯文本信息。
    解决办法 建议:避免使用RC4算法 

    1、禁止apache服务器使用RC4加密算法 
    vi /etc/httpd/conf.d/ssl.conf 
    修改为如下配置 
    SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4 
    重启apache服务 
    2、关于lighttpd加密算法  
    在配置文件lighttpd.conf中禁用RC4算法,例如:  
    ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"  
    重启lighttpd 服务。 

    3、Windows系统建议参考官网链接修复: 
    https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4 

    威胁分值 4.3
    危险插件
    发现日期 2013-03-15
    CVE编号 CVE-2013-2566
    BUGTRAQ 58796
    NSFOCUS 23179
    CNNVD编号 CNNVD-201303-335
    CNCVE编号 CNCVE-20132566
    CVSS评分 4.3
    CNVD编号 CNVD-2013-02724


    2019年12月30日 3:16

全部回复

  • 您好,

    您可以通过Windows Update检查并安装最新的更新以及修复程序来检测是否能够解决您的问题。

    更多细节可以参考以下链接获取帮助:

    windows server 2016 漏洞问题

    https://social.technet.microsoft.com/Forums/office/zh-CN/cea898dc-9088-4169-b6c0-8af27086521a/windows-server-2016-28431279343838239064?forum=winserver8zhcn

    此外,确实没有单独针对 Server 2016的补丁以供下载,但是禁用RC4的方法是一样的,你可以手动修改注册表达到效果。您提到的Windows官网的链接中的安全更新程序适用于Server 2016。

    如下图所示:

    注意:你所提及的检测结果及检测工具并非微软官方产品,建议联系该程序的供应商/技术支持,确认该检测的具体机制及结果方案。

    希望能帮助到您。祝您生活愉快!

    Kiki


    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2019年12月31日 6:21
  • 您好!
    已经反复刷新windows update到最新的补丁程序

    在官方网站看到相关描述如下:

    可以过滤RC弱口令之类的漏洞,是否这个问题微软已经决绝了?

    不是说要禁用RC4算法。



    https://docs.microsoft.com/zh-cn/windows/win32/secauthn/cipher-suites-in-schannel?redirectedfrom=MSDN

    https://docs.microsoft.com/zh-cn/windows/win32/secauthn/tls-cipher-suites-in-windows-8-1

    Windows Server 2016 and Windows 10, version 1607: For information about supported cipher suites, see TLS Cipher Suites in Windows 10 v1607



    Allowed when the application passes SCH_USE_STRONG_CRYPTO: The Microsoft Schannel provider will filter out known weak cipher suites when the application uses the SCH_USE_STRONG_CRYPTO flag. In Windows 10, version 1607 and Windows Server 2016, in addition to RC4, DES, export and null cipher suites are filtered out.


    2019年12月31日 7:39
  • 您好,

    对于RC弱口令之类的漏洞的具体信息,由于论坛支持的范围有限,建议您向Microsoft支持联系开一个case以帮助您更好的解决问题,链接如下所示:

    https://support.microsoft.com/zh-cn/supportforbusiness/productselection

    希望能帮助到您!

    祝您生活愉快~

    Kiki


    如果认为回帖者的回答有所帮助,请将之标记为答复,这样可以帮助更多的用户获取有效信息。

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    2020年1月1日 9:05