阿里云部署站点扫出 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)解决方案

最新推荐文章于 2025-09-29 09:15:00 发布
原创 最新推荐文章于 2025-09-29 09:15:00 发布 · 559 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#阿里云

文章讲述了在阿里云环境下,尽管WAF配置了特定的SSL版本和加密算法,但使用NMAP仍检测到3DES。解决方案是通过编辑域名设置,开启非SNI客户端兼容选项,解决了此问题。

前提条件:

1、该站点部署在阿里云环境中。

2、已在waf配置中定义SSL版本和SSL加密算法。

存在的问题:

1、使用nmap检查时仍然提示使用3DES算法

解决方法:

点击站点编辑中域名,点击开启“非 SNI 客户端兼容”,再次复扫问题解决。

Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183) --亲测
冰恋云的专栏
11-27 1万+
打开服务器,运行gpedit.msc,打开“本地编辑器”,依次打开计算机配置-管理-网络-配置设置。打开“SSL密码套件顺序”,更改为已启用,并修改套件,去掉TLS1.1版本算法。替换成以上内容,重启,复扫,OK。
Windows系统修复SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)
baidu_25691461的博客
12-10 6125
windows机器检查出现问题:SSLTLS协议信息泄露漏洞CVE-2016-2183),并且是高危漏洞,必须修复
Nginx解决SSL/TLS协议信息泄露漏洞CVE-2016-2183
最新发布
https://ophome.blog.youkuaiyun.com,在IT行业有多年的工作经验,尤其是在Python、Linux、负载均衡、Nginx和服务器运维等领域。
09-29 745
Nginx解决SSL/TLS协议信息泄露漏洞CVE-2016-2183
漏洞修复】SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
薄炙厚词的博客
10-20 6480
TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.youkuaiyun.com
12-30 26万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
Windows下修复SSL/TLS协议信息泄露漏洞CVE-2016-2183
AZerork的博客
12-12 4万+
很久没水文章了,之前遇到漏扫软件扫出一台Windows Server存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183),漏扫提供的修补链接已经失效,又在在网上查了很多文章,基本都是CtrlCV毫无作用,于是自己翻看了漏洞信息后弄了个修复方法。以下仅根据漏洞信息从修复方向讨论如何确认漏洞是否存在和修复方法。
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
10-06
Windows Server 合规漏洞修复,修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)解法
diaya的专栏
05-13 1051
2. 本地组策略编辑器-->计算机配置-->管理模板-->网络-->SSL配置设置-->启用“SSL。3. 将原有的密码套件值清空,拷入下面的值,保存设置,并重启服务器即可。1.运行gpedit.msc,进入本地组策略编辑器。
服务器漏洞修复之SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
tootsy_you的博客
06-14 9066
具有足够资源的中间人攻击者可利用此漏洞,通过“birthday”攻击检测会在固定密码与已知纯文本之间泄露 XOR 的冲突,进而泄露密码文本(例如安全 HTTPS Cookie),并可能导致劫持经认证的会话。请注意,在客户端和服务器之间通过相同的 TLS 连接发送大量请求的能力,是发动此攻击的重要条件。如果单个链接允许的请求数量有限,则会减轻该漏洞的严重性。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复
weixin_45251630的博客
09-02 3883
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。安装nmap:nmap的下载地址https://nmap.org/download#linux-rpm,TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。如果服务器有防火墙,直接在服务器安装完nmap以后,直接执行。如果没有防火墙可以指直接用笔记本电脑的namp测试。
k8s安全测评漏洞SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 2322
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
Windows修复SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
php小菜鸟
07-26 5667
打开服务器,运行gpedit.msc,打开“本地组策略编辑器”,依次打开计算机配置-管理模板-网络-SSL配置设置。打开“SSL密码套件顺序”,更改为已启用,并修改套件算法,去掉TLS1.1版本算法。替换成以上内容,重启,复扫,OK。
修复Apache httpd中的SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)
IT布道
12-27 1868
默认情况下,查看/etc/httpd/conf.d/ssl.conf文件,但ssl.conf这个名字可以修改,所以,根据实际情况修改即可。找到配置项SSLCipherSuite和SSLProxyCipherSuite,并进行修改。修改完成之后,重启httpd。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
qq_42947816的博客
02-08 3万+
法国国家信息与自动化研究所(French Institute for Research in Computer Science and Automation,INRIA)的两名科学家发布了一项新研究,这是一种针对64位分组密码算法的生日攻击,其详细阐述了一种攻击手法—从用64位密码加密的TLS(HTTPS)流量恢复数据。
漏洞修复---SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
西瓜的博客
09-14 2908
下载最新版本 【当前我下载的版本为 openssl-1.1.1q】2.将压缩包上传到linux服务器。1.查看当前openssl版本。4. 移除老版本openssl
Let‘s Encrypt+nginx之漏洞 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
wo240的专栏
12-18 5603
根据漏洞扫描的提示查看官网给出的解释,如下: SWEET32 Mitigation (CVE-2016-2183) SWEET32 (https://sweet32.info) is an attack on older block cipher algorithms that use a block size of 64 bits. In mitigation for the SWEET32 attack DES based ciphersuites have been moved from the HI
SSL/TLS协议信息泄露漏洞CVE-2016-2183应该如何处理
07-05
### 修复SSL/TLS协议中的CVE-2016-2183信息泄露漏洞 CVE-2016-2183 是一个与 SSL/TLS 协议相关的漏洞,主要涉及使用弱加密算法(如 DES、Triple DES 和 IDEA)导致的生日攻击风险。攻击者可以利用 Sweet32 攻击方式从加密通信中获取明文数据。为了防止此类攻击,需要采取以下措施来禁用易受攻击的加密算法,并启用更安全的 TLS 配置。 #### Windows 系统修复方法 在 Windows Server 或 Windows 客户端系统上,可以通过修改注册表和组策略来增强 TLS 安全性: 1. **启用 TLS 1.2 并禁用旧版本协议** - 打开“控制面板” > “网络和 Internet” > “Internet 选项”。 - 在“高级”选项卡中,取消勾选 SSL 3.0、TLS 1.0 和 TLS 1.1,仅保留 TLS 1.2 作为启用的协议- 此外,可以通过注册表编辑器 (`regedit`) 修改以下路径: ``` HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols ``` 在 `Protocols` 下创建或修改 `TLS 1.2` 键,并确保其子键 `Client` 和 `Server` 中包含 `Enabled` 和 `DisabledByDefault` 值以正确启用 TLS 1.2[^4]。 2. **禁用弱加密算法(如 Triple DES)** - 通过组策略编辑器 (`gpedit.msc`),导航至: ``` Computer Configuration > Administrative Templates > Network > SSL Configuration Settings ``` 设置 `SSL Cipher Suite Order` 来指定优先使用的加密套件,并排除任何包含 `DES` 或 `IDEA` 的算法组合。 #### OpenSSL 修复方法 如果系统使用的是 OpenSSL 实现,则应升级到最新的 OpenSSL 版本,并配置其禁用不安全的加密算法: 1. **升级 OpenSSL** - 访问 [OpenSSL 官方下载页面](https://www.openssl.org/source/) 获取最新版本并进行安装。 - 更新后需重启相关服务(如 Apache、Nginx)以应用新版本。 2. **配置 OpenSSL 禁用弱加密套件** - 编辑 OpenSSL 配置文件(通常位于 `/etc/ssl/openssl.cnf`),添加或修改以下行以排除 DES/IDEA 相关算法: ```ini [system_default_sect] CipherString = DEFAULT:@SECLEVEL=2 ``` - 或者在应用程序配置中指定加密套件顺序,例如在 Nginx 中使用: ```nginx ssl_ciphers HIGH:!aNULL:!MD5:!DES:!IDEA:!RC4; ``` #### 检查与验证 完成上述配置后,建议使用以下工具进行验证: - 使用 [SSL Labs' SSL Test](https://www.ssllabs.com/ssltest/) 对服务器进行扫描,检查是否仍然存在 CVE-2016-2183 漏洞- 在命令行中使用 `openssl` 工具测试连接时使用的加密套件: ```bash openssl s_client -connect yourserver.com:443 -tls1_2 ``` 通过以上步骤,可以有效缓解 CVE-2016-2183 所带来的安全风险。 ---
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值