动易技术中心 /产品知识库/网站&服务器&网络安全

OpenSSL 信息泄露漏洞

作者:佚名 来源:网络 点击数: 发布时间:2022年10月08日

漏洞描述:OpenSSL 信息泄露漏洞(CVE-2016-2183)【原理扫描】

详细信息:https://www.openssl.org/blog/blog/2016/08/24/sweet32/

3231f2a39acb4097ae0b8de7d7fd69bb.png

漏洞测试:使用nmap工具扫描服务器ip,命令如下:

nmap -sV -p 443 --script ssl-enum-ciphers 服务器IP

94d1bebfc9bf4825b127e0d0d76ad5d8.png

可以看到存在C低级别的3DES算法。

解决方案:

(1)Windows下使用IISCrypto工具禁用3DES算法

fdb62c6213a0491580133a9eec7e059d.png

(2)Linux下使用nginx,修改nginx配置

ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:ECDHE:ECDH:AES:HIGH:!NULL:!aNULL:!MD5:!ADH:!RC4:!3DES;

b524205a6d11463eb8853a30023b5f04.png

 

禁用后再次使用nmap工具扫描,可以看到已经没有低级别安全算法了。

8c11a6eec3ba41e4b9afd4a90f9c140c.png