近日,客戶轉來安全公司給客戶IBM I HS WEB服務器的安全掃描結果,說明存在CVE-2015-2808 和CVE-2014-3566漏洞,如下所述:
| SSL 3.0 POODLE攻擊信息泄露漏洞(CVE-2014-3566)【原理掃描】 | 漏洞描述:
目前多數瀏覽器版本都支持SSL3.0,TLS協議的握手階段包含了版本協商步驟,一般來說,客戶端和服務器端的最新的協議版本將會被使用。其在與服務器端的握手階段進行版本協商的時候,首先提供其所支持協議的最新版本,若該握手失敗,則嘗試以較舊的協議版本協商。能夠實施中間人攻擊的攻擊者通過使受影響版本瀏覽器與服務器端使用較新協議的協商的連接失敗,可以成功實現降級攻擊,從而使得客戶端與服務器端使用不安全的SSL3.0進行通信,此時,由於SSL 3.0使用的CBC塊加密的實現存在漏洞,攻擊者可以成功破解SSL連接的加密信息,比如獲取用戶cookie數據。這種攻擊被稱為POODLE攻擊(Padding Oracle On Downgraded Legacy Encryption)。 修復建議: 建議禁用SSL 3.0協議。 目前常用瀏覽器只有IE 6.0仍然不支持TLS 1.0,禁用SSL 3.0協議將影響IE 6客戶的 SSL訪問。 服務端禁用方法: Apache 2.x: 在mod_ssl配置文件中使用如下命令禁用SSLv2和SSLv3: SSLProtocol All -SSLv2 -SSLv3 重啟Apache |
| SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)【原理掃描】 | 漏洞描述:
SSL/TLS協議是一個被廣泛使用的加密協議,Bar Mitzvah攻擊實際上是利用了”不變性漏洞”,這是RC4算法中的一個缺陷,它能夠在某些情況下泄露SSL/TLS加密流量中的密文,從而將賬戶用戶名密碼,信用卡數據和其他敏感信息泄露給黑客。 修復建議: 建議禁止apache服務器使用RC4加密算法 vi /etc/httpd/conf.d/ssl.conf 修改為如下配置 SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4 重啟apache服務 |
並給出針對apache的修補建議,而沒有給出 IHS的修補建議,考慮到IHS 源自於開源的APACHE。結構和功能有點類似。經過一翻探索,從IBM 官網找到對這兩個漏洞的修補建議,特回復客戶如下:也順便在本博客記錄一份,如下:
關於那兩個漏洞修補方法如下:
一、將ibm HIS 8.0.0.7 升級到ibm I HS 8.0.0.10以上,可以修補這兩個漏洞。
二、如果不打補丁到his 8.0.0.10以上。那就可以這樣修改 I HS http.conf文件。
針對:SSL 3.0 POODLE攻擊信息泄露漏洞(CVE-2014-3566)
可以編輯I HS 的httpd.conf文件:加上:SSLProtocolDisable SSLv3 SSLv2 ,然後重啟I HS .
例如:
For all releases and versions of Apache based IBM HTTP Server, IBM recommends disabling SSLv3:
Add the following directive to the httpd.conf file to disable SSLv3 and SSLv2 for each context that contains “SSLEnable”:
# Disable SSLv3 for CVE-2014-3566
# SSLv2 is disabled in V8R0 and later by default, and in typical V7
# and earlier configurations disabled implicitly when SSLv3 ciphers
# are configured with SSLCipherSpec.
SSLProtocolDisable SSLv3 SSLv2
Stop and restart IHS for the changes to take affect.
針對:SSL/TLS 受誡禮(BAR-MITZVAH)攻擊漏洞(CVE-2015-2808)
可以編輯I HS 的httpd.conf文件:加上: SSLFIPSEnable ,然後重啟I HS .
例如:
For Version 8.0 and later:
- A simple way to mitigate this issue is to turn on FIPS140-2 support which will both disable RC4 by default and remove any RC4 ciphers added inadvertently. To enable FIPS140-2, add ‘SSLFIPSEnable’ to each configuration stanza with ‘SSLEnable’
Note: On z/OS, SSLFIPSEnable is only available in 8.5.5.0 and later and is set once globally instead of per-virtual host.
- If you cannot enable FIPS140-2 support or if you run into a complication, you must complete allof the following to disable RC4:
首先選第一種方法,直接升級到his 8.0.0.10 ,其次選第二種。
Ibm官網對這兩個漏洞的修補說明:
CVE-2015-2808 https://www-01.ibm.com/support/docview.wss?uid=swg21701072
CVE-2014-3566 http://www-01.ibm.com/support/docview.wss?uid=swg21687172
以下文章點擊率最高
Loading…