SSL DROWN Attack Vulnerability (Decrypting RSA with Obsolete and Weakened eNcryption)
弱點編號:89058
PORT:8443
系統:windows server 2008
NET版本:4.0
描述:SSLv2具DROWN(Decrypting RSA with Obsolete and Weakened eNcryption , CVE-2016-0800) 安全性漏洞,其主要原因為SSLv2設計不當,導致存在安全威脅,包含:
a.開啟機碼設定(regedit.exe),並至路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL2.0]
(SSL 3.0路徑為[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0])
b.在SSL2.0資料夾上按右鍵→新增→機碼,然後輸入「Server」
c.接著在剛剛建立Server的資料夾下按右鍵→新增→DWORD(32位元)值,然後輸入「Enabled」
d.確認資料欄位值是否為「0x00000000 (0)」,若否,請手動將值改為0。
【Tomcat修補方式】可透過設定「sslProtocols」或「sslEnabledProtocols」參數,利用白名單方式,關閉SSL。
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
Tomcat 6 (6.0.38之後的版本號) 與 7:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
Tomcat APR:
<Connector port="443" maxHttpHeaderSize="8192"
maxThreads="150"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
SSLEnabled="true"
SSLCertificateFile="${catalina.base}/conf/localhost.crt"
SSLCertificateKeyFile="${catalina.base}/conf/localhost.key"
SSLProtocol="TLSv1"/>
【Apache修補方式】於httpd.conf檔案新增SSLProtocol設定,透過黑名單方式,關閉SSL。
在httpd.conf加入以下設定:SSLProtocol all -SSLv2 -SSLv3
PORT:8443
系統:windows server 2008
NET版本:4.0
描述:SSLv2具DROWN(Decrypting RSA with Obsolete and Weakened eNcryption , CVE-2016-0800) 安全性漏洞,其主要原因為SSLv2設計不當,導致存在安全威脅,包含:
1.同一密鑰(Secret Key)用於訊息身分驗證與加密。
2.認證密文(Cipher)只支援不安全的MD5雜湊值。
3.利用修改ClientHello與ServerHello封包,造成中間人(Man In the Middle, MItM)攻擊。
目前大多數瀏覽器、網頁伺服器(HTTPS)及郵件伺服器(SMTPS)均建議不採用SSLv2協定[2][3],避免遭受可能風險如:
攻擊者可利用SSLv2協定的安全性漏洞,破解金鑰交換加密演算法,以取得加密金鑰,進而還原加密封包,解析通訊內容。
處理方式:【IIS修補方式】透過修改機碼的方式,關閉SSL。
a.開啟機碼設定(regedit.exe),並至路徑[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL2.0]
(SSL 3.0路徑為[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\SSL3.0])
b.在SSL2.0資料夾上按右鍵→新增→機碼,然後輸入「Server」
c.接著在剛剛建立Server的資料夾下按右鍵→新增→DWORD(32位元)值,然後輸入「Enabled」
d.確認資料欄位值是否為「0x00000000 (0)」,若否,請手動將值改為0。
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
Tomcat 6 (6.0.38之後的版本號) 與 7:
<Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
Tomcat APR:
<Connector port="443" maxHttpHeaderSize="8192"
maxThreads="150"
enableLookups="false" disableUploadTimeout="true"
acceptCount="100" scheme="https" secure="true"
SSLEnabled="true"
SSLCertificateFile="${catalina.base}/conf/localhost.crt"
SSLCertificateKeyFile="${catalina.base}/conf/localhost.key"
SSLProtocol="TLSv1"/>
留言
張貼留言