|
|
| 漏洞名称 | 服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】 | | 详细描述 | 该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renegotiation被用于浏览器到服务器之间的验证。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说,则需要20台电脑和120Kbps的网络连接即可实现。SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。 | | 解决办法 | 我的解决方法是:关闭或代理443端口
使用SSL开启重协商的服务都会受该漏洞影响
Apache解决办法:
升级到Apache 2.2.15以后版本
IIS解决办法:
IIS 5.0启用SSL服务时,也会受影响。可以升级IIS 6.0到更高的版本。
Lighttpd解决办法:
建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = "enable"。
http://download.lighttpd.net/lighttpd/releases-1.4.x/
Nginx解决办法:
0.7.x升级到nginx 0.7.64
0.8.x升级到 0.8.23 以及更高版本。
http://nginx.org/en/download.html
Tomcat解决办法:
1、使用NIO connector代替BIO connector,因为NIO不支持重协商,参考如下配置:
<Connector protocol=&#34;org.apache.coyote.http11.Http11NioProtocol&#34;>
(可能会影响Tomcat性能);
2、配置Nginx反向代理,在Nginx中修复OpenSSL相关问题。
参考链接:
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html
http://tomcat.apache.org/security-7.html#Not_a_vulnerability_in_Tomcat
https://tomcat.apache.org/tomcat-6.0-doc/config/http.html#Connector_Comparison
Squid解决办法:
升级到3.5.24以及以后版本
http://www.squid-cache.org/Versions/
缓解或者修复建议:
1、建议关闭重协商,举例:ssl renegotiation disable
2、无法禁用重新协商策略的建议:
a)则仅允许安全重新协商并限制SSL握手的次数,或者通过添加SSL加速器之类的产品来升级服务器资源。不支持不安全的重新协商
b)请限制SSL握手的次数,或者通过添加SSL加速器之类的产品来升级服务器资源。
c)增加防火墙规则,限制端口访问等策略
d)使用iptable规则,限制每个ip地址的请求数
如果扫描器跟目标机之间存在WAF,请优先检查WAF配置。 | | 威胁分值 | 5.0 | | 危险插件 | 否 | | 发现日期 | 2012-06-16 | | CVE编号 | CVE-2011-1473 | | CNNVD编号 | CNNVD-201206-254 | | CNCVE编号 | CNCVE-20111473 | | CVSS评分 | 5.0 |
 |
|
发表于 2022-11-25 10:47:10