本文主要是介绍NVE-01-2015-11090:SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) [端口: 443],希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
漏洞标识 NVE-01-2015-11090 漏洞名称 SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
漏洞类别 WEB服务器测试 发布日期 2015.03.30
相关端口 443 风险级别 中风险
CVSS分值 4.3(AV:N/AC:H/Au:N/C:P/I:N/A:N) BUGTRAQ 73684
CNCVE CNNVD
CVE CVE-2015-2808
受影响的版本
获取信息
远程主机系统支持如下 RC4 密码组件:
RC4-MD5
详细内容
RC4加密算法是密钥长度可变的流加密算法簇,由Ron Rivest在1987年设计的。
SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。
参考信息:
http://cr.yp.to/talks/2013.03.12/slides.pdf
http://www.isg.rhul.ac.uk/tls/
http://www.freebuf.com/articles/network/62442.html
解决方案
1、临时方案:
A、对于NGINX的修补
修改nginx配置文件中的 ssl_ciphers项
ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:EC
这篇关于NVE-01-2015-11090:SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808) [端口: 443]的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!