漏洞详情信息
漏洞名称 SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱漏洞
漏洞等级 中
漏洞描述 安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出 Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对 网络连接进行加密。传输层安全TLS(Transport Layer Security),IETF对SSL协议标准化 (RFC 2246)后的产物,与SSL 3.0差异很小。 当服务器SSL/TLS的瞬时Diffie-Hellman公 共密钥小于等于1024位时,存在可以恢复纯文本信息的风险。
漏洞影响 导致信息泄露
漏洞修复方案
方案描述 重新配置服务以删除对 DH密码组的支持。
修复流程 找到ssl配置文件 > 禁用DH密码组 > 重启服务 > 检查是否禁用成功 > 完成
风险概述 需专业人员进行修复
修复依据 根据漏洞原理修复
操作前提 无
具体操作步骤如下:
- 步骤1 找到ssl配置文件
Apache配置文件:vi /usr/local/apache/conf/extra/httpd-ssl.conf
Nginx 配置文件:vi /etc/nginx/nginx.conf
其他服务器以实际情况为准。
- 步骤2 禁用DH密码组
找到SSL密码组配置,
Apache中为:SSLCipherSuite
Nginx 中为:ssl_ciphers
如果配置中存在:DH或者:EDH密码组,如图
编辑
- 步骤3 重启服务
重启Apache:systemctl restart httpd
重启Nginx:systemctl restart nginx
- 步骤4 检查是否禁用成功
openssl s_client -connect IP 地址:443 -cipher DH
如图表示已禁用成功
编辑
