使用弱哈希算法签名的SSL证书(CVE-2004-2761)
修复方案
目录
漏洞详情信息 2
漏洞修复方案 3
1.1、修复建议 3
1.2、方案一 4
1.3、方案二 5
附件 7
文档说明 7
漏洞详情信息
漏洞名称 使用弱哈希算法签名的SSL证书 CVE-2004-2761
漏洞等级 中
漏洞描述 远程服务使用SSL证书链,该证书链已使用加密弱哈希算法(例如MD2、MD4、MD5或SHA1)签名。这些签名算法很容易受到碰撞攻击。攻击者可以利用这一点生成另一个具有相同数字签名的证书,从而允许攻击者伪装成受影响的服务。
注意,这个插件报告所有使用SHA-1签署的SSL证书链在2017年1月1日之后失效都是脆弱的。这与谷歌的SHA-1加密哈希算法的逐渐衰落相一致。
漏洞影响 攻击者可以利用这一点生成另一个具有相同数字签名的证书,从而允许攻击者伪装成受影响的服务。
漏洞修复方案
免责声明:
本文档所提供的修复方案,均以官方提供的方案作为最佳方案,其次是针对漏洞原理进行修复的临时解决方案。修复方案中涉及的补丁下载链接均为官方提供的链接,若补丁存在任何异常问题,不承担相应责任。
1.1、修复建议
参考文档中RDP部分替换服务器默认证书:https://blog.youkuaiyun.com/weixin_40133285/article/details/124406356
1.2、方案一
方案描述 替换服务器默认证书
修复流程 生成证书 > 替换证书 > 重新启动>完成
修复依据 参考修复建议
注意 无
修复过程
1、生成私有证书
“Makecert.exe -r -pe -n “CN=Server” -b 05/08/2023 -e 01/01/2055 -sky exchange -sv ServerPublicKey.pvk ServerPublicKey.cer -a sha256 -len 2048”
设置私钥密码“123456”
输入私钥密码
提示“Succeeded”生成证书文件如下:
使用pvk2pfx根据pvk证书导出pfx格式证书,-pi参数后接设置的Private Key Password,如123456
“pvk2pfx -pvk ServerPublicKey.pvk -spc ServerPublicKey.cer -pfx ServerPrivateKey.pfx -pi 123456”
在当前目录下生成ServerPrivateKey.pfx证书文件。
2、导入证书
命令行下输入“mmc”打开管理控制台
文件–>添加/删除管理单元–>可用的管理单元–>证书–>添加–>计算机账户–>下一步–>本地计算机–>完成–>确定
证书(本地计算机)(中间位置双击)–>个人(右键)–>所有任务–>导入–>本地机计算–>下一步–>浏览–>选择C:\Windows\SysWOW64\ServerPrivateKey.pfx–>下一步–>输入Private Key Password–>确定–>下一步–>完成–>导入成功–>证书(双击)–>出现带私钥的Server证书
查看证书,记录指纹信息,后面添加注册表项会用到。
添加证书访问权限
Server证书(右键)–>所有任务–>管理私钥–>添加–>输入对象名称来选择–>NETWORK SERVICE–>检查名称–>确定–>分配NETWORK SERVICE读取权限–>确定
在RDP-tcp中加载证书
添加注册表项
设置值为证书指纹值
3、验证证书生效情况
打开远程桌面重新连接,查看证书
RDP证书更换成功。
附件
文档说明
本文档针对使用弱哈希算法签名的SSL证书(CVE-2004-2761)漏洞,提供以上整改建议。
版权声明:
本文中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容,除另有特别注明,版权均属本公司所有,受到有关产权及版权法保护。任何个人、机构未经本公司的书面授权许可,不得以任何方式复制或引用本文的任何片断。
扫一扫
3559
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
