TLSv1.0的CBC Mode的脆弱性

全部回复

• 

  

  0

  登录进行投票

  你好，

  请参阅微软发布的安全公告

  https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2012/ms12-006

  从根源解决的方法是更新补丁，公告中有补丁的下载地址。

  补丁具体的文件更改，请参考下面的链接：

  https://support.microsoft.com/zh-cn/help/2585542/ms12-006-description-of-the-security-update-for-webio-winhttp-and-scha

  
  如果不安装补丁，微软给出的变通方案是

  攻击仅影响在 CBC 模式中使用对称加密算法的密码套件（例如 AES），但不影响 RC4 算法。您可以区分服务器软件中 RC4 算法的优先次序以使用 RC4（而不是 CBC）促进安全的通信。请参阅此 MSDN 文章区分 Schannel 密码套件的优先次序以了解如何执行此操作。
  警告：您与之通信的客户端或服务器必须支持 RC4 算法。如果不提供 RC4 支持，则将使用其他可用的密码套件，此变通办法无效。

  https://msdn.microsoft.com/en-us/library/bb870930%28v=vs.85%29.aspx

  希望回复可以帮到您。

  
  

  
  Best Regards,
  
  Frank

  
  

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  • 已建议为答案 frank_songMicrosoft contingent staff, Moderator 2018年6月6日 2:51

  2018年6月6日 2:51

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  你好，

  请问回复的信息对你有用么？如果你需要进一步的帮助，请告诉我们。

  Best Regards,

  Frank

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年6月8日 9:35

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  你好，

  请问您的问题解决了吗？ 如果您使用我们的方案解决问题，请“将其标记为答案”，以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题，请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有，请回复并告诉我们目前的情况，以提供进一步的帮助。

  Best Regards,

  Frank

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年6月14日 8:35

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  

  非常感谢您的回答。 
  
  我们调查了下我们的server，解决方案所提示的KB2585542的Patch已经安装完成后， 
  在脆弱性检查中又发现了下面的问题。麻烦确认下原因。 
  Severity：3 
  SSLv3.0/TLSv1.0 Protocol Weak CBC Mode Server Side Vulnerability (BEAST) 
  port 443/tcp over SSL 

  
  

  2018年6月21日 3:22

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  请问你是通过什么软件做的脆弱性检查？

  请运行cmd命令

  systeminfo

  检查补丁是否已安装，相应的文件版本是否已修改。

  Best Regards,
  Frank

  
  

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年6月21日 9:53

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  

  您好！
  感谢回复。
  我们用systeminfo命令检查过，KB2585542已经安装上了。 
  为了保险我们又检查了一下，确实安装上了。 
  
  我们也查看相应的文件的版本，因为这个包是很久以前安装上的， 
  应该后来又有其他的包也对相应的文件做过修改， 
  所以文件版本号都是比网页上介绍的要高。 
  
  想确认下，我们的server，为了TLS1.1，TLS1.2也有效，安装了一次KB4019276包， 
  这个对KB2585542有负面影响吗？ 
  
  还有，做脆弱性检查的时候用的什么软件，我们尝试问下给我们做脆弱性检查的部门 
  再联系你。 
  

  
  

  2018年6月22日 6:35

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  经过我的研究，KB4019276已经被KB4056564取代

  https://support.microsoft.com/zh-cn/help/4056564/security-update-for-vulnerabilities-in-windows-server-2008

  建议服务器打上最新的补丁。

  Best Regards,
  
  Frank

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年6月22日 7:06

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  

  关于通过什么软件做的脆弱性检查这个问题，我们问了下， 
  是使用Qualys检查的。 
  
  你说的KB4056564，我们5月13日已经安装完成了。 
  总结下 
  KB2585542 我们很早以前就安装完了 
  KB4019276 2018年3月11日安装完成 
  脆弱性问题 2018年5月1日查出 
  KB4056564 2018年5月13日安装完成 
  
  从上面过程来看，因为我们5月13日安装了KB4056564，以后不会检查出同样的脆弱性了，是吧。 
  
  注：这个脆弱性是针对TLS1.0的 
  Severity：3 
  SSLv3.0/TLSv1.0 Protocol Weak CBC Mode Server Side Vulnerability (BEAST) 
  port 443/tcp over SSL  
  

  
  

  2018年6月22日 9:20

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  想确认下此主题的状态，如果有什么问题，请联系我们。

  Best Regards,

  Frank

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年6月25日 3:11

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  

  上次问的比较暧昧对不起。 
  想再次问您的是， 
  我们在5月13日安装完KB4056564后，这个脆弱性就对应完成了， 
  以后不会再被检查出来了，这样认识对吗？ 
  

  
  

  2018年6月26日 2:56

  回复

  |

  引用
• 

  

  0

  登录进行投票

  你好，

  由于Qualys是三方产品，我们无法确定。

  建议你把补丁更新到最新的级别，以防止漏洞。

  Windows Server 2008将在2020.1.14结束支持，建议你提前做好准备，把系统更新到最新的版本来获得更好的体验。

  https://support.microsoft.com/en-us/lifecycle/search?alpha=windows%20server%202008

  Best Regards,
  Frank

  
  

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  • 已建议为答案 frank_songMicrosoft contingent staff, Moderator 2018年6月26日 3:36

  2018年6月26日 3:36

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  你好，

  请问您的问题解决了吗？ 如果您使用我们的方案解决问题，请“将其标记为答案”，以帮助其他社区成员快速找到有用的回复。 如果您使用自己的方案解决问题，请在此处分享您的经验和解决方案。 对于有类似问题的其他社区成员也是非常有帮助的。 如果没有，请回复并告诉我们目前的情况，以提供进一步的帮助。

  Best Regards,

  Frank

  ---

  Please remember to mark the replies as an answers if they help.
  If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

  2018年6月28日 6:53

  回复

  |

  引用

  版主
• 

  

  0

  登录进行投票

  

  我们的服务器，KB2585542和KB4056564已经安装完毕，
  但是还是检查出来脆弱性。我们没有查到相关原因，迷茫中…
  能否直接告知原因和解决对策。
  注：我们的服务器，因为客户的原因，需要TLS1.0，TLS1.1，TLS1.2同时存在。
  
  
  参考：检测说明
  3 SSLv3.0/TLSv1.0 Protocol Weak CBC Mode Server Side Vulnerability (BEAST) port 443/tcp over SSL
  QID: 42366 CVSS Base: 4.3
  Category: General remote services CVSS Temporal: 3.5
  CVE ID: CVE-2011-3389
  Vendor Reference: -
  Bugtraq ID: 49388, 49778
  Service Modified: 07/23/2015 CVSS3 Base: -
  User Modified: - CVSS3 Temporal: -
  Edited: No
  PCI Vuln: No
  
  THREAT:
  ......
  
  IMPACT:
  ......
  
  SOLUTION:
  This attack was identified in 2004 and later revisions of TLS protocol which contain a fix for this. If possible, upgrade to TLSv1.1 or TLSv1.2. If
  upgrading to TLSv1.1 or TLSv1.2 is not possible, then disabling CBC mode ciphers will remove the vulnerability.
  Setting your SSL server to prioritize RC4 ciphers mitigates this vulnerability. Microsoft has posted information including workarounds for IIS at
  KB2588513 (http://technet.microsoft.com/en-us/security/advisory/2588513).
  Using the following SSL configuration in Apache mitigates this vulnerability:
  SSLHonorCipherOrder On
  SSLCipherSuite RC4-SHA:HIGH:!ADH
  Qualys SSL/TLS Deployment Best Practices can be found here (https://www.ssllabs.com/projects/best-practices/).
  Note: RC4 recommendation is only in situations where upgrade to TLSv1.2 is not possible. RC4 in TLS v1.0 has output bias problem as described in
  QID 38601. Therefore it is recommended to upgrade to TLS v1.2 or later.
  

  
  

  2018年7月3日 3:04

  回复

  |

  引用