解决CVE-2015-2808 和CVE-2014-3566漏洞对IBM IHS的影晌

近日,客户转来安全公司给客户IBM I HS WEB服务器的安全扫描结果,说明存在CVE-2015-2808 和CVE-2014-3566漏洞,如下所述:

SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】 漏洞描述:

目前多数浏览器版本都支持SSL3.0,TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被使用。其在与服务器端的握手阶段进行版本协商的时候,首先提供其所支持协议的最新版本,若该握手失败,则尝试以较旧的协议版本协商。能够实施中间人攻击的攻击者通过使受影响版本浏览器与服务器端使用较新协议的协商的连接失败,可以成功实现降级攻击,从而使得客户端与服务器端使用不安全的SSL3.0进行通信,此时,由于SSL 3.0使用的CBC块加密的实现存在漏洞,攻击者可以成功破解SSL连接的加密信息,比如获取用户cookie数据。这种攻击被称为POODLE攻击(Padding Oracle On Downgraded Legacy Encryption)。

修复建议:

建议禁用SSL 3.0协议。

目前常用浏览器只有IE 6.0仍然不支持TLS 1.0,禁用SSL 3.0协议将影响IE 6客户的

SSL访问。

服务端禁用方法:

Apache 2.x:

在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3:

SSLProtocol All -SSLv2 -SSLv3

重启Apache

SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 漏洞描述:

SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了”不变性漏洞”,这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。

修复建议:

建议禁止apache服务器使用RC4加密算法

vi /etc/httpd/conf.d/ssl.conf

修改为如下配置

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

重启apache服务

 

并给出针对apache的修补建议,而没有给出 IHS的修补建议,考虑到IHS 源自于开源的APACHE。结构和功能有点类似。经过一翻探索,从IBM 官网找到对这两个漏洞的修补建议,特回复客户如下:也顺便在本博客记录一份,如下:

关于那两个漏洞修补方法如下:

一、将ibm HIS 8.0.0.7 升级到ibm  I HS 8.0.0.10以上,可以修补这两个漏洞。

二、如果不打补丁到his 8.0.0.10以上。那就可以这样修改 I HS  http.conf文件。

针对:SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)

可以编辑I HS  的httpd.conf文件:加上:SSLProtocolDisable SSLv3 SSLv2 ,然后重启I HS .

例如:

For all releases and versions of Apache based IBM HTTP Server, IBM recommends disabling SSLv3:

Add the following directive to the httpd.conf file to disable SSLv3 and SSLv2 for each context that contains “SSLEnable”:

# Disable SSLv3 for CVE-2014-3566
# SSLv2 is disabled in V8R0 and later by default, and in typical V7
# and earlier configurations disabled implicitly when SSLv3 ciphers
# are configured with SSLCipherSpec.
SSLProtocolDisable SSLv3 SSLv2

Stop and restart IHS for the changes to take affect.

针对:SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)

可以编辑I HS  的httpd.conf文件:加上: SSLFIPSEnable ,然后重启I HS .

例如:

For Version 8.0 and later:

  • A simple way to mitigate this issue is to turn on FIPS140-2 support which will both disable RC4 by default and remove any RC4 ciphers added inadvertently. To enable FIPS140-2, add ‘SSLFIPSEnable’ to each configuration stanza with ‘SSLEnable’

    Note: On z/OS, SSLFIPSEnable is only available in 8.5.5.0 and later and is set once globally instead of per-virtual host.

  • If you cannot enable FIPS140-2 support or if you run into a complication, you must complete allof the following to disable RC4:

 

首先选第一种方法,直接升级到his 8.0.0.10 ,其次选第二种。

Ibm官网对这两个漏洞的修补说明:

CVE-2015-2808   https://www-01.ibm.com/support/docview.wss?uid=swg21701072

 

CVE-2014-3566   http://www-01.ibm.com/support/docview.wss?uid=swg21687172

以下文章点击率最高

Loading…

发表评论