解决CVE-2015-2808 和CVE-2014-3566漏洞对IBM IHS的影晌

近日,客户转来安全公司给客户IBM I HS WEB服务器的安全扫描结果,说明存在CVE-2015-2808 和CVE-2014-3566漏洞,如下所述:

SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】 漏洞描述:

目前多数浏览器版本都支持SSL3.0,TLS协议的握手阶段包含了版本协商步骤,一般来说,客户端和服务器端的最新的协议版本将会被使用。其在与服务器端的握手阶段进行版本协商的时候,首先提供其所支持协议的最新版本,若该握手失败,则尝试以较旧的协议版本协商。能够实施中间人攻击的攻击者通过使受影响版本浏览器与服务器端使用较新协议的协商的连接失败,可以成功实现降级攻击,从而使得客户端与服务器端使用不安全的SSL3.0进行通信,此时,由于SSL 3.0使用的CBC块加密的实现存在漏洞,攻击者可以成功破解SSL连接的加密信息,比如获取用户cookie数据。这种攻击被称为POODLE攻击(Padding Oracle On Downgraded Legacy Encryption)。

修复建议:

建议禁用SSL 3.0协议。

目前常用浏览器只有IE 6.0仍然不支持TLS 1.0,禁用SSL 3.0协议将影响IE 6客户的

SSL访问。

服务端禁用方法:

Apache 2.x:

在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3:

SSLProtocol All -SSLv2 -SSLv3

重启Apache

SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】 漏洞描述:

SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了”不变性漏洞”,这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。

修复建议:

建议禁止apache服务器使用RC4加密算法

vi /etc/httpd/conf.d/ssl.conf

修改为如下配置

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

重启apache服务

 

并给出针对apache的修补建议,而没有给出 IHS的修补建议,考虑到IHS 源自于开源的APACHE。结构和功能有点类似。经过一翻探索,从IBM 官网找到对这两个漏洞的修补建议,特回复客户如下:也顺便在本博客记录一份,如下:

关于那两个漏洞修补方法如下:

一、将ibm HIS 8.0.0.7 升级到ibm  I HS 8.0.0.10以上,可以修补这两个漏洞。

二、如果不打补丁到his 8.0.0.10以上。那就可以这样修改 I HS  http.conf文件。

阅读更多

windows下静默式安装ibm wct(插件整合工具)的晌应文件

根据实际路径,修改如下xml文件,并保存成sample.xml文件,然后用imcl命令安装。

<?xml version=’1.0′ encoding=’UTF-8′?>
<agent-input>
<variables>
<variable name=’sharedLocation’ value=’C:\Users\zymh\IBM\IMShared’/>
</variables>
<server>
<repository location=’D:\Wiz-SoFt-Book\SoFtWare\IBM-WAS9-Setup-Win\JDK8.0\SDKJAVA_TM_TE_V8.0_WIN’/>
<repository location=’D:\Wiz-SoFt-Book\SoFtWare\IBM-WAS9-Setup-Win\WAS9.0ND\WAS_V9.0_WCT’/>
</server>
<profile id=’WebSphere Customization Toolbox V9.0′ installLocation=’C:\Users\zymh\IBM\WebSphere\Toolbox’>
<data key=’cic.selector.arch’ value=’x86_64’/>
</profile>
<install>
<!– WebSphere Customization Toolbox 9.0.0.0 –>
<offering profile=’WebSphere Customization Toolbox V9.0′ id=’com.ibm.websphere.WCT.v90′ version=’9.0.0.20160526_1854′ features=’core.feature,pct,zpmt,zmmt’/>
<!– IBM SDK Java Technology Edition V8 8.0.3.0 –>
<offering profile=’WebSphere Customization Toolbox V9.0′ id=’com.ibm.java.jdk.v8′ version=’8.0.3000.20160526_1317′ features=’com.ibm.sdk.8’/>
</install>
<preference name=’com.ibm.cic.common.core.preferences.eclipseCache’ value=’${sharedLocation}’/>
</agent-input>

windwos下静默式安装ibm plugin9 的晌应文件

根据实际的安装路径,然后修改如下xml内容,并保存成sample.xml,然后用imcl命令安装。

<?xml version=’1.0′ encoding=’UTF-8′?>
<agent-input>
<variables>
<variable name=’sharedLocation’ value=’C:\Users\zymh\IBM\IMShared’/>
</variables>
<server>
<repository location=’D:\Wiz-SoFt-Book\SoFtWare\IBM-WAS9-Setup-Win\JDK8.0\SDKJAVA_TM_TE_V8.0_WIN’/>
<repository location=’D:\Wiz-SoFt-Book\SoFtWare\IBM-WAS9-Setup-Win\WAS9.0ND\WAS_V9.0_IHS_PLG’/>
</server>
<profile id=’Web Server Plug-ins for IBM WebSphere Application Server V9.0′ installLocation=’C:\Users\zymh\IBM\WebSphere\Plugins’>
<data key=’cic.selector.arch’ value=’x86_64’/>
</profile>
<install>
<!– Web Server Plug-ins for IBM WebSphere Application Server 9.0.0.0 –>
<offering profile=’Web Server Plug-ins for IBM WebSphere Application Server V9.0′ id=’com.ibm.websphere.PLG.v90′ version=’9.0.0.20160526_1854′ features=’core.feature’/>
<!– IBM SDK Java Technology Edition V8 8.0.3.0 –>
<offering profile=’Web Server Plug-ins for IBM WebSphere Application Server V9.0′ id=’com.ibm.java.jdk.v8′ version=’8.0.3000.20160526_1317′ features=’com.ibm.sdk.8’/>
</install>
<preference name=’com.ibm.cic.common.core.preferences.eclipseCache’ value=’${sharedLocation}’/>
</agent-input>