Openssl FREAK 中间人劫持漏洞 - 解决方案

最新推荐文章于 2025-09-04 16:53:36 发布
转载 最新推荐文章于 2025-09-04 16:53:36 发布 · 138 阅读 · 0 ·
CC 4.0 BY-SA版权
原文链接:http://www.cnblogs.com/caotianyulu/p/4381258.html
文章标签:

#java

本文介绍了如何在CentOS环境下升级OpenSSL,并通过修改Tomcat的server.xml配置文件来解决OpenSSL FREAK中间人劫持漏洞。包括具体步骤和检查是否已应用补丁的方法。

 

openssl升级步骤:

环境CentOS

 1 wget http://www.openssl.org/source/openssl-1.0.2a.tar.gz
 2 tar zxvf openssl-1.0.2a.tar.gz
 3 cd openssl-1.0.2a
 4 ./config --prefix=/usr/local/ssl
 5 make && make install
 6 mv /usr/bin/openssl /usr/bin/openssl.OFF
 7 mv /usr/include/openssl /usr/include/openssl.OFF
 8 ln –s /usr/local/ssl/bin/openssl /usr/bin/openssl
 9 ln –s /usr/local/ssl/include/openssl /usr/include/openssl
10 echo "/usr/local/ssl/lib">>/etc/ld.so.conf
11 ldconfig -v
12 openssl version -a

 

检查是否有【Openssl FREAK 中间人劫持漏洞】命令:

openssl s_client -connect m.mash5.cn:443 -cipher EXPORT
openssl s_client -connect 121.199.43.97:443 -cipher EXPORT

 

tomcat解决方案:(tomcat用户,推荐)

打开tomcat的配置文件server.xml,在SSL对应的<Connector>中添加下列属性:
tomcat 5,6:
SSLEnabled="true"
sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

tomcat >=7:
SSLEnabled="true"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
修改完毕后,请重启tomcat服务。

 

转载于:https://www.cnblogs.com/caotianyulu/p/4381258.html

脆弱的SSL加密算法问题
发哥微课堂
09-07 7217
0x00:漏洞介绍 脆弱的 SSL 加密算法也可以叫它 opensslFREAK Attack 漏洞。有两三年的年头了,CVE 是 CVE-2015-0204,网站或软件支持低强度的加密协议,包括低版本的 openssl,就会存在此问题。其实就是 https 的网站,加密等级比较低,就会存在这个 SSL 弱加密问题。危害就是由于 OpenSSL 库里的 s3_clnt.c 文件中,ssl3...
SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000)
热门推荐
hongweibing1的专栏
11-21 1万+
详细描述 TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。  TLS 1.2及更早版本,在服务器上启用但不在客户端启用DHE_EXPORT密码组时,没有正确转送DHE_EXPORT选择,中间人攻击者通过用DHE_EXPORT代替DHE,重写ClientHello,然后用DHE代替DHE_EXPORT,重写ServerHello(即"Logjam"问题),利用此
FREAK-Attack-CVE-2015-0204-Testing-Script:根据 Akamai 的建议,针对 FREAK 攻击 (CVE-2015-0204) 自动执行基于 OpenSSL 的测试的基本 BASH 脚本
06-20
FREAK 攻击 CVE 20150204 测试脚本 根据 Akamai 的建议,针对 FREAK 攻击 (CVE-2015-0204) 自动执行基于 OpenSSL 的测试的基本 BASH 脚本。 它是一个免费软件,不需要别人的服务器来运行。 您的服务器在正常情况下必须通过 SSL Labs 测试获得 A+ 的分数,应列为 HSTS Preload Listed 网站以提高安全性。 除了知名的网络服务提供商,不要在 SSL Lab 上的某些母亲 f$$$$$$r 的服务器上测试您自己的网站。 首先测试该服务器,在他们的网站上发现安全漏洞并不罕见。 该脚本是按照 Akamai 描述的方法编写的。 我为我们的服务器写的。 您不应该抱怨它,因为它是 100% 的免费软件。 通常在 SSL 实验室测试中,您会在设置良好的情况下获得 A+。 使用此脚本随意测试任何额外问题。 坦率地说,大多数网
Openssl漏洞 注意‘FREAK’ SSL 漏洞
TURING.DT
04-13 1823
概要 法国国家信息与自动化研究所与MS公司发现了通过SSL使强制地降为易受攻击的RSA的漏洞。 ※ CVE-2015-0204 : 作为OpenSSL s3_clnt.c的 ssl3_get_key exchange 函数中发生的漏洞,由于攻击者通过MITM(Man In The Middle Attack)使降为 512bit RSA从而可以使信息泄露    相应系统 受到影响的
SSL/TSL漏洞Freak,可致数百万苹果、安卓用户隐私泄露
IT技术
03-09 374
近日,法国安全公司Inria以及微软发现了一存在十多年的SSL/TSL 漏洞Freak,它可让数以百万的Apple、Android 用户在造访诸如白宫、FBI、NSA 等所谓安全网站时被动暴露在对加密流量的中间人攻击攻击中。 Freak 漏洞主要是让黑客或情报机构能够执行加密降级攻击,送出弱密码金钥,以便破解加密防护。用这种方法破解加密流量遭后,黑客得以获取到用户塬本以为十分安全的通讯内容。...
脆弱的SSL加密算法漏洞原理以及修复方法
it知识分享 free for nothing..
01-02 8629
脆弱的SSL加密算法漏洞原理以及修复方法
opensslopenssl-devel离线rpm安装包.zip_OPENSSL 库_openssl_openssl-deve
09-21
总的来说,理解和掌握OpenSSL库以及其开发包的使用是构建安全网络服务的关键技能,而离线RPM包的使用则是在没有网络连接时解决依赖问题的有效方法。在实际工作中,根据具体的系统环境和需求,选择合适的OpenSSL版本...
openssl-devel-1.1.1o-1.el7.x86_64.rpm openssl-devel
05-23
openssl-devel-1.1.1o-1.el7.x86_64 openssl-devel openssl openssl rpm包
openssl-libs-1.0.2k-26.el7_9.x86_64.rpm
10-10
Centos7 el7.x86_64 官方离线安装包,安装指令为 sudo rpm -ivh openssl-libs-1.0.2k-26.el7_9.x86_64.rpm
openssl-devel-1.0.2k-26.el7_9.i686.rpm
11-02
Centos7 el7.x86_64 官方离线安装包,安装指令为 sudo rpm -ivh openssl-devel-1.0.2k-26.el7_9.i686.rpm
脆弱的SSL加密算法
渗透之路,攻防之间皆学问
03-21 7690
一. 漏洞描述 脆弱的SSL加密算法也叫弱加密算法,opensslFREAK Attack 漏洞。有两三年的年头了,CVE 是 CVE-2015-0204,网站或软件支持低强度的加密协议,包括低版本的 openssl,就会存在此问题。其实就是 https 的网站,加密等级比较低。危害就是由于 OpenSSL 库里的 s3_clnt.c 文件中,ssl3_get_key_exchange 函数,允许客户端使用一个弱 RSA 秘钥,向 SSL 服务端发起 RSA-to-EXPORT_RS...
详解HTTPS连接过程以及中间人攻击劫持
Linuxprobe18的博客
03-19 5952
一 、HTTPS连接过程及中间人攻击原理https协议就是http+ssl协议,如下图所示为其连接过程:1.https请求客户端向服务端发送https请求;2.生成公钥和私钥服务端收到请求之后,生成公钥和私钥。公钥相当于是锁,私钥相当于是钥匙,只有私钥才能够打开公钥锁住的内容;3.返回公钥服务端将公钥(证书)返回给客户端,公钥里面包含有很多信息,比如证书的颁发机构、过期时间等等;4.客户端验证公钥...
[OpenSSL示例]HTTPS中间人攻击
vvh694mv
01-19 437
[OpenSSL示例]HTTPS中间人攻击 2011年12月23日   HTTPS中间人攻击   一段测试性质的代码,自己做一个伪造的证书,然后使用DNS SPOOF 引导被攻击者访问攻击者机器,攻击者作为中间人记录明文的数据传输。附件里面是我测试时使用的伪造的证书,使用OPENSSL生成的。   代码:   #include   #include   #incl...
浅谈“脆弱的SSL加密算法“
→_→
07-06 8296
一:漏洞名称: 弱加密算法、脆弱的加密算法、脆弱的SSL加密算法、opensslFREAK Attack漏洞 描述: 脆弱的SSL加密算法,是一种常见的漏洞,且至今仍有大量软件支持低强度的加密协议,包括部分版本的openssl。其实,该低强度加密算法在当年是非常安全的,但时过境迁,飞速发展的技术正在让其变得脆弱。黑客可利用SSL弱加密算法漏洞进行SSL中间人攻击,即强迫服务器和用户之间使用低强度的加密方式,然后再通过暴力破解,窃取传输内容。强度较弱的加密算法将不能较好的保证通...
OpenSSL中间人攻击源码
Walter的专栏
03-03 2059
转载自: http://blog.chinaunix.net/space.php?uid=11669504&do=blog&id=2856741   HTTPS中间人攻击 一段测试性质的代码,自己做一个伪造的证书,然后使用DNS SPOOF 引导被攻击者访问攻击者机器,攻击者作为中间人记录明文的数据传输。附件里面是我测试时使用的伪造的证书,使用OPENSSL生成的。 代码
ssl中间人原理
程序猿成长之路
11-02 1812
 假设爱丽丝(Alice)希望与鲍伯(Bob)通信。同时,马洛里(Mallory)希望拦截窃会话以进行窃听并可能在某些时候传送给鲍伯一个虚假的消息。 首先,爱丽丝会向鲍勃索取他的公钥。如果Bob将他的公钥发送给Alice,并且此时马洛里能够拦截到这个公钥,就可以实施中间人攻击。马洛里发送给爱丽丝一个伪造的消息,声称自己是鲍伯,并且附上了马洛里自己的公钥(而不是鲍伯的)。 爱丽丝收到公
分析两种实现SSL会话劫持的典型技术
平凡之路
03-01 5340
分析两种实现SSL会话劫持的典型技术 本文由优快云-蚍蜉撼青松【主页:http://blog.youkuaiyun.com/howeverpf】原创,转载请注明出处!           自SSL问世以来,在其应用范围越来越广泛同时,多种针对SSL协议本身的缺陷或者其不规范引用的SSL会话劫持方法也随之出现,下面将详细分析两种典型的SSL会话劫持的实现原理和实现条件。【读者如果想要参考SSL中间人的实...
Java 和 Python 的执行方式有很大不同——Android学习
ban102055的博客
09-04 1491
特性PythonJava执行方式(解释执行)->(先编译后执行)是否需要编译否是环境需要 Python 解释器需要JDK(包含javac和java在Android Studio中不适用全自动,点击“Run”即可给你的建议:为了学习 Android 开发:直接使用。不要担心命令行,IDE 会帮你处理一切。专注于编写代码和理解 Android 的概念(如 Activity、生命周期)。为了单纯学习 Java 语法。
Java 枚举通用接口设计与实现
最新发布
sunnyday0426的博客
09-04 438
本文介绍了Java中枚举类型的通用接口设计方法。通过定义BaseEnumInterface接口,可以为枚举添加code和desc属性,并提供统一的静态操作方法,如根据code获取枚举实例、获取所有编码列表、验证编码有效性等。以GenderEnum为例,展示了枚举类如何实现该接口,并演示了通过接口提供的通用方法进行便捷操作。这种设计模式提高了代码复用性,使枚举操作更加规范统一。
OpenSSL 安全漏洞 (CVE-2023-0215)解决方案
06-21
### OpenSSL 安全漏洞 CVE-2023-0215 的修复方法 CVE-2023-0215 是与 OpenSSL 相关的安全漏洞,主要影响特定版本的 OpenSSL。针对该漏洞修复方法可以参考以下内容: #### 1. 确认当前 OpenSSL 版本 在修复漏洞之前,首先需要确认当前系统中安装的 OpenSSL 版本是否受此漏洞影响。可以通过以下命令检查版本号: ```bash openssl version -a ``` 如果当前版本为受影响版本(例如 OpenSSL 1.1.1t 或更早版本),则需要进行升级或应用补丁[^3]。 #### 2. 下载并安装最新版本的 OpenSSL 为了规避 CVE-2023-0215 漏洞,建议将 OpenSSL 升级到不受影响的版本。以下是具体操作步骤: ##### 2.1 下载 OpenSSL 源码 从官方站点下载最新版本的 OpenSSL 源码包,确保选择的是修复了 CVE-2023-0215 的版本(例如 OpenSSL 3.0.8 或更高版本)。 ```bash wget https://www.openssl.org/source/openssl-3.0.8.tar.gz tar -xvzf openssl-3.0.8.tar.gz cd openssl-3.0.8 ``` ##### 2.2 编译并安装 OpenSSL 按照以下步骤编译并安装 OpenSSL: ```bash ./config --prefix=/usr/local/ssl shared zlib make depend make make install ``` 完成安装后,更新系统的 OpenSSL 路径以指向新版本: ```bash echo "/usr/local/ssl/lib" > /etc/ld.so.conf.d/openssl.conf ldconfig -v ``` #### 3. 替代方案:使用非官方补丁 如果无法直接升级 OpenSSL,可以尝试查找非官方提供的补丁文件。需要注意的是,这些补丁可能未经官方验证,存在潜在风险。用户需自行评估其安全性[^3]。 #### 4. 验证修复结果 完成升级或补丁应用后,应验证漏洞是否已被修复。可以使用工具如 `sslyze` 或 `nmap` 测试目标主机是否存在 CVE-2023-0215 漏洞: ```bash sslyze --scan-default-suites --heartbleed <target_host> ``` --- ### 注意事项 - 如果系统中包含 Oracle MySQL 数据库,且版本为 5.7.40 或更早版本、8.0.31 或更早版本,则需要同步升级数据库以避免兼容性问题[^3]。 - 在执行任何升级操作前,请确保备份重要数据,以防意外情况发生。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值