SSL/TLS协议信息泄露漏洞(CVE-2016-2183)解决办法(WindowsServer2012r2 3389端口 )

最新推荐文章于 2025-09-29 09:15:00 发布
原创 最新推荐文章于 2025-09-29 09:15:00 发布 · 1.4w 阅读 · 22 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#运维 #服务器

详细描述

TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。

TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。

<来源:Karthik Bhargavan Gaetan Leurent 链接:https://www.openssl.org/news/secadv/20160922.txt>

解决办法

建议:避免使用DES算法
1、OpenSSL Security Advisory [22 Sep 2016]
链接:https://www.openssl.org/news/secadv/20160922.txt
请在下列网页下载最新版本:
https://www.openssl.org/source/
2、对于nginx、apache、lighttpd等服务器禁止使用DES加密算法
主要是修改conf文件
3、Windows系统可以参考如下链接:
https://social.technet.microsoft.com/Forums/en-US/31b3ba6f-d0e6-417a-b6f1-d0103f054f8d/ssl-medium-strength-cipher-suites-supported-sweet32cve20162183?forum=ws2016

下载Solv-Sweet32.ps1,打开PowerShell,进入所在盘,输入地址运行:
在这里插入图片描述

链接:https://pan.baidu.com/s/1yNuJC6IABd-SrGE0liB53w
提取码:5joa

参考:https://www.cnblogs.com/jianshuai520/p/14326297.html

修复漏洞Windows 2012 Server R2(CVE-2016-2183)(CVE-2015-2808)(CVE-2013-2566)
路~可以走过
06-23 2502
【代码】修复漏洞Windows 2012 Server R2(CVE-2016-2183)(CVE-2015-2808)(CVE-2013-2566)
Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183) --亲测
冰恋云的专栏
11-27 1万+
打开服务器,运行gpedit.msc,打开“本地编辑器”,依次打开计算机配置-管理-网络-配置设置。打开“SSL密码套件顺序”,更改为已启用,并修改套件,去掉TLS1.1版本算法。替换成以上内容,重启,复扫,OK。
windows修复SSL漏洞CVE-2016-21833389端口
茉清语
03-09 4万+
gpedit.msc 计算机配置->管理模板->网络->SSL配置设置 SSL密码套件顺序->右击->编辑 勾选已启用->修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。 删除旧的,替换新的 old: TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA
Nginx解决SSL/TLS协议信息泄露漏洞CVE-2016-2183
最新发布
https://ophome.blog.youkuaiyun.com,在IT行业有多年的工作经验,尤其是在Python、Linux、负载均衡、Nginx和服务器运维等领域。
09-29 710
Nginx解决SSL/TLS协议信息泄露漏洞CVE-2016-2183
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
开发日志:windows修复SSL漏洞CVE-2016-21833389端口
老罗传奇
07-19 2121
漏洞危害: 具有足够资源的中间人攻击者可利用此漏洞,通过“birthday”攻击检测会在固定密码与已知纯文本之间泄露 XOR 的冲突,进而泄露密码文本(例如安全 HTTPS Cookie),并可能导致劫持经认证的会话。 参见《支持SSL 64位块大小的密码套件(SWEET32)-修复方案》 参考资料:https://blog.youkuaiyun.com/weixin_46167705/article/de...
CVE-2016-2183修复方法
weixin_67900048的博客
04-22 3104
关闭了3DES的加密套件不会所提到的这些机器造成影响,禁用3DES-CBS的加密套件后客户端与server 建立TLS时,仅是无法使用包含3DES的加密套件。客户端和服务器中都存在相应的密码套件,在建立连接的时候,他们会进行协商,如果服务器端不能使用3DES的适合,他们会去协商使用其他的密码套件,当找到相应的密码套件时才会建立连接,密码套件不止3DES一种,下面介绍了不同的密码套件类型;该TLS加密套件的安全问题,建议将DES及3DES的加密套件禁用。
漏洞修复】SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
薄炙厚词的博客
10-20 6474
TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。
Window系统漏洞修复
2401_88751384的博客
12-13 2471
RC4 密码套件存在漏洞SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞CVE-2015-2808),通过“受戒礼”攻击,攻击者可以在特定环境下只通过嗅探监听就可以还原采用 RC4 保护的加密信息中的纯文本,导致账户、密码、信用卡信息等重要敏感信息暴露,并且可以通过中间人(Man-in-the-middle)进行会话劫持。2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。选择“端口”,点击“下一步”。
Windows下修复SSL/TLS协议信息泄露漏洞CVE-2016-2183
AZerork的博客
12-12 4万+
很久没水文章了,之前遇到漏扫软件扫出一台Windows Server存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183),漏扫提供的修补链接已经失效,又在在网上查了很多文章,基本都是CtrlCV毫无作用,于是自己翻看了漏洞信息后弄了个修复方法。以下仅根据漏洞信息从修复方向讨论如何确认漏洞是否存在和修复方法。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
林中明月间丶
11-24 5789
由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。3、在“SSL密码套件顺序”选在“已启用(E)” ,在“SSL密码套件”下修改SSL密码套件算法,仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-SSL配置设置”, 在“SSL密码套件顺序”选项上,右键“编辑”。修改后,点击“应用”、“确定”,即可。4、重启服务器即可。
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
06-09
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
Windows server 2012远程桌面服务(RDP)存在SSL / TLS漏洞解决办法
weixin_33811961的博客
06-28 7728
1、 前言为了提高远程桌面的安全级别,保证数据不被×××窃取,在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据,从而弥补了远程桌面功能本来的安全缺陷。2、问题描述在Windows server 2003和Windows server 2008,远程桌面服务SSL加密默认是关闭的...
windows漏洞处理过程
天道酬勤
10-29 1416
SSLTLS协议信息泄露漏洞(CVE-2016-2183) _CredSSP 远程执行代码漏洞(CVE-2018-0886) SSLTLS_RC4_信息泄露漏洞(CVE-2013-2566)_受诫礼攻击漏洞(CVE-2015-2808)
Windows2012R2 远程桌面服务(RDP)3389存在SSL漏洞解决办法
weixin_34326179的博客
10-12 1万+
前言为了提高远程桌面的安全级别,保证数据不被***窃取,在Windows2003的最新补丁包SP1中添加了一个安全认证方式的远程桌面功能。通过这个功能我们可以使用SSL加密信息来传输控制远程服务器的数据,从而弥补了远程桌面功能本来的安全缺陷。 2.问题描述在Windows server 2003和Windows server 2008,远程桌面服务SSL加密默认是关闭的,需要配置才可以使用;但...
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
12-30 26万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
k8s安全测评漏洞SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 2285
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
linux 上SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】
冰恋云的专栏
05-21 9624
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
SSL/TLS协议信息泄露漏洞CVE-2016-2183应该如何处理
07-05
### 修复SSL/TLS协议中的CVE-2016-2183信息泄露漏洞 CVE-2016-2183 是一个与 SSL/TLS 协议相关的漏洞,主要涉及使用弱加密算法(如 DES、Triple DES 和 IDEA)导致的生日攻击风险。攻击者可以利用 Sweet32 攻击方式从加密通信中获取明文数据。为了防止此类攻击,需要采取以下措施来禁用易受攻击的加密算法,并启用更安全的 TLS 配置。 #### Windows 系统修复方法 在 Windows Server 或 Windows 客户端系统上,可以通过修改注册表和组策略来增强 TLS 安全性: 1. **启用 TLS 1.2 并禁用旧版本协议** - 打开“控制面板” > “网络和 Internet” > “Internet 选项”。 - 在“高级”选项卡中,取消勾选 SSL 3.0、TLS 1.0 和 TLS 1.1,仅保留 TLS 1.2 作为启用的协议- 此外,可以通过注册表编辑器 (`regedit`) 修改以下路径: ``` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols ``` 在 `Protocols` 下创建或修改 `TLS 1.2` 键,并确保其子键 `Client` 和 `Server` 中包含 `Enabled` 和 `DisabledByDefault` 值以正确启用 TLS 1.2[^4]。 2. **禁用弱加密算法(如 Triple DES)** - 通过组策略编辑器 (`gpedit.msc`),导航至: ``` Computer Configuration > Administrative Templates > Network > SSL Configuration Settings ``` 设置 `SSL Cipher Suite Order` 来指定优先使用的加密套件,并排除任何包含 `DES` 或 `IDEA` 的算法组合。 #### OpenSSL 修复方法 如果系统使用的是 OpenSSL 实现,则应升级到最新的 OpenSSL 版本,并配置其禁用不安全的加密算法: 1. **升级 OpenSSL** - 访问 [OpenSSL 官方下载页面](https://www.openssl.org/source/) 获取最新版本并进行安装。 - 更新后需重启相关服务(如 Apache、Nginx)以应用新版本。 2. **配置 OpenSSL 禁用弱加密套件** - 编辑 OpenSSL 配置文件(通常位于 `/etc/ssl/openssl.cnf`),添加或修改以下行以排除 DES/IDEA 相关算法: ```ini [system_default_sect] CipherString = DEFAULT:@SECLEVEL=2 ``` - 或者在应用程序配置中指定加密套件顺序,例如在 Nginx 中使用: ```nginx ssl_ciphers HIGH:!aNULL:!MD5:!DES:!IDEA:!RC4; ``` #### 检查与验证 完成上述配置后,建议使用以下工具进行验证: - 使用 [SSL Labs' SSL Test](https://www.ssllabs.com/ssltest/)服务器进行扫描,检查是否仍然存在 CVE-2016-2183 漏洞- 在命令行中使用 `openssl` 工具测试连接时使用的加密套件: ```bash openssl s_client -connect yourserver.com:443 -tls1_2 ``` 通过以上步骤,可以有效缓解 CVE-2016-2183 所带来的安全风险。 ---
评论 9
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值