K8S组件SWEET32 CVE-2016-2183漏洞修复方案 —— 筑梦之路

已于 2023-05-06 13:20:44 修改
阅读量2.9k 收藏 6
点赞数 1
分类专栏: linux系统运维 云计算 文章标签: kubernetes 容器 云原生
于 2022-11-25 23:23:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_34777982/article/details/128046091
版权

涉及得组件:kubelet kube-apiserver etcd 等

扫描方法:

nmap -sV --script ssl-enum-ciphers -p 10250 192.168.100.100

nmap -sV --script ssl-enum-ciphers -p 2379 192.168.100.100

nmap -sV --script ssl-enum-ciphers -p 6443 192.168.100.100

扫描结果示例见截图

 解决方案:

去掉3DES弱加密算法,其他加密算法保留

# kubelet组件添加配置

vim  /var/lib/kubelet/config.yaml

tlsCipherSuites:
- TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305
- TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
- TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
- TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
- TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
- TLS_RSA_WITH_AES_128_CBC_SHA
- TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA-TLS_RSA_WITH_AES_128_GCM_SHA256
- TLS_RSA_WITH_AES_256_CBC_SHA-TLS_RSA_WITH_AES_256_GCM_SHA384

# 重启kubelet

systemctl restart kubelet

# kube-apiserver组件 
# kube-api 在kube-apiserver.yaml的command参数部分增加tls-cipher-suites
# vim /etc/kubernetes/manifests/kube-apiserver.yaml

- --tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384

# etcd组件 
# etcd 在etcd.yaml的command参数部分增加cipher-suites,注意没有tls前缀
# etcd有提示 unexpected TLS cipher suite "TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256",去除对应加密模式

vim /etc/kubernetes/manifests/etcd.yaml

 - --cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384


# kube-controller-manager组件
# --tls-cipher-suites strings
供服务器使用的加密包的逗号分隔列表。若忽略此标志,则使用 Go 语言默认的加密包。
可选值包括:TLS_AES_128_GCM_SHA256、TLS_AES_256_GCM_SHA384、TLS_CHACHA20_POLY1305_SHA256、TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256、TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305、TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256、TLS_RSA_WITH_AES_128_CBC_SHA、TLS_RSA_WITH_AES_128_GCM_SHA256、TLS_RSA_WITH_AES_256_CBC_SHA、TLS_RSA_WITH_AES_256_GCM_SHA384。
不安全的值: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_ECDSA_WITH_RC4_128_SHA、TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA、TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256、TLS_ECDHE_RSA_WITH_RC4_128_SHA、TLS_RSA_WITH_3DES_EDE_CBC_SHA、TLS_RSA_WITH_AES_128_CBC_SHA256、TLS_RSA_WITH_RC4_128_SHA。

# 添加配置
# vim /etc/systemd/system/kube-controller-manager.service

--tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384

# 重启服务
systemctl daemon-reload && systemctl restart kube-controller-manager 


# kube-scheduler组件
# --tls-cipher-suites strings
服务器的密码套件列表,以逗号分隔。如果省略,将使用默认的 Go 密码套件。 优先考虑的值: TLS_AES_128_GCM_SHA256, TLS_AES_256_GCM_SHA384, TLS_CHACHA20_POLY1305_SHA256, TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305_SHA256, TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305, TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256, TLS_RSA_WITH_3DES_EDE_CBC_SHA, TLS_RSA_WITH_AES_128_CBC_SHA, TLS_RSA_WITH_AES_128_GCM_SHA256, TLS_RSA_WITH_AES_256_CBC_SHA, TLS_RSA_WITH_AES_256_GCM_SHA384.
不安全的值: TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_ECDSA_WITH_RC4_128_SHA, TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256, TLS_ECDHE_RSA_WITH_RC4_128_SHA, TLS_RSA_WITH_AES_128_CBC_SHA256, TLS_RSA_WITH_RC4_128_SHA.

# 添加配置
# vim /etc/systemd/system/kube-scheduler.service
--tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_GCM_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_256_GCM_SHA384

#重启
systemctl daemon-reload 
systemctl restart kube-scheduler

----------------

# 再次扫描验证

nmap --script ssl-enum-ciphers -p 10250 192.168.100.100

nmap --script ssl-enum-ciphers -p 6443 192.168.100.100

nmap --script ssl-enum-ciphers -p 2379 192.168.100.100

nmap --script ssl-enum-ciphers -p 10252 192.168.100.100

nmap --script ssl-enum-ciphers -p 10251 192.168.100.100

注意事项:若服务起不来,查看日志有不支持的加密算法,去掉重启即可 

参考资料:

kubelet | Kubernetes

4213-确保Kubelet被配置为只使用加强型加密密码 - 观测云文档

k8s修复openssl漏洞 - Sureing - 博客园

kube-apiserver - Kubernetes

kubelet - Kubernetes

kube-controller-manager | Kubernetes

修复 K8s SSL/TLS 漏洞(CVE-2016-2183)指南_cve-2016-2183补丁_KubeSphere 云原生的博客-优快云博客

k8s安全测评漏洞:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 1865
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
windows修复SSL漏洞CVE-2016-2183
leonnew的博客
07-27 5253
勾选已启用->修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。2、计算机配置->管理模板->网络->SSL配置设置。3、SSL密码套件顺序->右击->编辑。需要重新启动服务器生效。
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
一键备份升级Openssh9.5p1 解决CVE-2023-38408,具体步骤见
网站被sweet32攻击 漏洞修复
最新发布
weixin_43925876的博客
02-28 398
sql server2014老版本默认用的TLS1.0/1.1 升级补丁到 1.2。网站被Sweet32攻击,可以采取以下方式:1. 避免使用存在安全缺陷的DES/3DES密码算法。2. 禁用弱密码套件。我的sql server报错5023。就是因为我的版本过低需要升级到支持TLS 1.2的补丁版本。我的服务器是 winserver 2016 + sql server2014 挂的iis 没有nginx。禁用一些加密算法即可。修复漏洞直接用 IIS Cryptov即可。下载这个最轻量的即可。
修复 K8s SSL/TLS 漏洞CVE-2016-2183)指南
热门推荐
KubeSphere
02-21 2万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
SWEET32CVE-2016-6329、CVE-2016-2183、响应头】漏洞修复
famaslly的博客
03-05 2971
1、设置标题、添加响应头、返回值。1、升级 OpenSSL 版本。
k8s漏洞-CVE-2016-2183修复
weixin_45912745的博客
10-10 2884
k8s漏洞-CVE-2016-2183修复
SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
叱咤少帅的博客
02-01 8064
SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复
weixin_45251630的博客
09-02 2540
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。安装nmap:nmap的下载地址https://nmap.org/download#linux-rpm,TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。如果服务器有防火墙,直接在服务器安装完nmap以后,直接执行。如果没有防火墙可以指直接用笔记本电脑的namp测试。
网络安全入门笔记(共327页),助你步入安全门槛
Spontaneous_0的博客
01-31 768
网络安全入门笔记(共327页),助你步入安全门槛
【SSL Medium Strength Cipher Suites Supported (SWEET32) 漏洞修复
一纸荒芜的博客
06-12 8763
nessus漏扫的漏洞修复
traefik TLS-SSL 修复sweet32漏洞 [安全加固]——筑梦之路
qq_53058639的博客
03-08 1372
之前已经写过关于nginxK8S组件修复sweet32安全漏洞的相关文章,关于sweet32安全漏洞就不再做过多的介绍,查阅了一些资料,很少有关于traefik修复SWEET32安全漏洞的相关文章,今天这里写一下如何修复traefik此漏洞,增强安全性。
Sweet32: TLS 64位分组密码生日攻击(CVE-2016-2183)
weixin_39078334的博客
12-16 1万+
客户服务器被发现Sweet32,经过检查,都是受DES/3DES影响导致的,解决办法就是禁用了DES/3DES。 验证方式:nmap -sV --script ssl-enum-ciphers -p 443 test.com 以下是我从网络上找到的一些信息: 概述 分组密码在SSL/TLS协议中的特定配置会遭到碰撞攻击。 背景 传统64位块分组密码在使用CBC模式时很容易被碰撞攻击。SSL/TLS协议所有支持使用3DES对称加密的密码套件都受影响(例如 ECDHE-RSA-DES-CBC3-S...
CVE-2016-2183漏洞修复
w184414332的博客
08-18 1万+
CVE-2016-2183漏洞修复
linux修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
qq_37713521的博客
12-16 811
make和make install过程中可能会报错,要记得处理。升级openssl版本来修复漏洞。可能提示没有权限创建目录或文件。所有命令最好加上sudo ,
CVE-2016-2183漏洞修复windows
02-21
### CVE-2016-2183 漏洞修复方案 (Windows 系统) #### 修改注册表设置 为了修复CVE-2016-2183漏洞,在Windows系统上需要调整SSL/TLS协议中的密码套件配置。具体操作是在注册表路径`HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers`下移除弱加密算法,如IDEA、DES和3DES[^2]。 ```powershell New-Item "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL" New-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\NULL" -Name Enabled -Value 0x00000000 -PropertyType DWORD ``` 上述PowerShell命令展示了如何禁用特定的加密算法。对于其他不安全的算法也应采取相同措施。 #### 更新组策略对象(GPO) 除了通过修改注册表来控制使用的密码套件外,还可以利用组策略管理工具来进行更广泛的部署。这涉及到编辑计算机配置下的“管理模板”,找到并配置Schannel相关的选项以确保只允许强加密标准[^3]。 #### 安装官方补丁程序 微软针对此问题发布了相应的更新包,建议尽快下载安装最新的累积更新(CU),这些更新通常包含了对已知的安全性和稳定性改进。访问Microsoft Update Catalog网站可以获取适用于不同版本Windows系统的KB文章及其对应的修补程序文件。 完成以上更改之后,应当重启操作系统使新设定生效,并验证远程桌面服务(RDP)等功能是否仍能正常使用[^1]。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值