询问者
TLSv1.0的CBC Mode的脆弱性

问题
全部回复
-
你好,
请参阅微软发布的安全公告
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2012/ms12-006
从根源解决的方法是更新补丁,公告中有补丁的下载地址。
补丁具体的文件更改,请参考下面的链接:
攻击仅影响在 CBC 模式中使用对称加密算法的密码套件(例如 AES),但不影响 RC4 算法。您可以区分服务器软件中 RC4 算法的优先次序以使用 RC4(而不是 CBC)促进安全的通信。请参阅此 MSDN 文章区分 Schannel 密码套件的优先次序以了解如何执行此操作。
警告:您与之通信的客户端或服务器必须支持 RC4 算法。如果不提供 RC4 支持,则将使用其他可用的密码套件,此变通办法无效。https://msdn.microsoft.com/en-us/library/bb870930%28v=vs.85%29.aspx
希望回复可以帮到您。
Best Regards,
Frank
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com- 已建议为答案 frank_songMicrosoft contingent staff, Moderator 2018年6月6日 2:51
-
请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。
Best Regards,
Frank
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com -
你好,
请问你是通过什么软件做的脆弱性检查?
请运行cmd命令
systeminfo
检查补丁是否已安装,相应的文件版本是否已修改。
Best Regards,
Frank
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com -
你好,
经过我的研究,KB4019276已经被KB4056564取代
建议服务器打上最新的补丁。
Best Regards,
FrankPlease remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com -
关于通过什么软件做的脆弱性检查这个问题,我们问了下, 是使用Qualys检查的。 你说的KB4056564,我们5月13日已经安装完成了。 总结下 KB2585542 我们很早以前就安装完了 KB4019276 2018年3月11日安装完成 脆弱性问题 2018年5月1日查出 KB4056564 2018年5月13日安装完成 从上面过程来看,因为我们5月13日安装了KB4056564,以后不会检查出同样的脆弱性了,是吧。 注:这个脆弱性是针对TLS1.0的 Severity:3 SSLv3.0/TLSv1.0 Protocol Weak CBC Mode Server Side Vulnerability (BEAST) port 443/tcp over SSL
-
你好,
想确认下此主题的状态,如果有什么问题,请联系我们。
Best Regards,
Frank
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com -
你好,
由于Qualys是三方产品,我们无法确定。
建议你把补丁更新到最新的级别,以防止漏洞。
Windows Server 2008将在2020.1.14结束支持,建议你提前做好准备,把系统更新到最新的版本来获得更好的体验。
https://support.microsoft.com/en-us/lifecycle/search?alpha=windows%20server%202008
Best Regards,
Frank
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com- 已建议为答案 frank_songMicrosoft contingent staff, Moderator 2018年6月26日 3:36
-
请问您的问题解决了吗? 如果您使用我们的方案解决问题,请“将其标记为答案”,以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题,请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有,请回复并告诉我们目前的情况,以提供进一步的帮助。
Best Regards,
Frank
Please remember to mark the replies as an answers if they help.
If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com -
我们的服务器,KB2585542和KB4056564已经安装完毕, 但是还是检查出来脆弱性。我们没有查到相关原因,迷茫中… 能否直接告知原因和解决对策。 注:我们的服务器,因为客户的原因,需要TLS1.0,TLS1.1,TLS1.2同时存在。 参考:检测说明 3 SSLv3.0/TLSv1.0 Protocol Weak CBC Mode Server Side Vulnerability (BEAST) port 443/tcp over SSL QID: 42366 CVSS Base: 4.3 Category: General remote services CVSS Temporal: 3.5 CVE ID: CVE-2011-3389 Vendor Reference: - Bugtraq ID: 49388, 49778 Service Modified: 07/23/2015 CVSS3 Base: - User Modified: - CVSS3 Temporal: - Edited: No PCI Vuln: No THREAT: ...... IMPACT: ...... SOLUTION: This attack was identified in 2004 and later revisions of TLS protocol which contain a fix for this. If possible, upgrade to TLSv1.1 or TLSv1.2. If upgrading to TLSv1.1 or TLSv1.2 is not possible, then disabling CBC mode ciphers will remove the vulnerability. Setting your SSL server to prioritize RC4 ciphers mitigates this vulnerability. Microsoft has posted information including workarounds for IIS at KB2588513 (http://technet.microsoft.com/en-us/security/advisory/2588513). Using the following SSL configuration in Apache mitigates this vulnerability: SSLHonorCipherOrder On SSLCipherSuite RC4-SHA:HIGH:!ADH Qualys SSL/TLS Deployment Best Practices can be found here (https://www.ssllabs.com/projects/best-practices/). Note: RC4 recommendation is only in situations where upgrade to TLSv1.2 is not possible. RC4 in TLS v1.0 has output bias problem as described in QID 38601. Therefore it is recommended to upgrade to TLS v1.2 or later.