RHEL中https的SSL中等强度密码套件支持(SWEET32)漏洞
RHEL中https的SSL中等强度密码套件支持(SWEET32)漏洞
提问于 2022-10-13 06:51:33
刚从Tenable扫描得到的结果显示,RHEL7.5主机很容易受到插件42873的攻击:“SSL中等强度密码套件支持(SWEET32)",位于TCP端口443上。
“Tenable报告”详细说明如下:
Medium Strength Ciphers (> 64-bit and < 112-bit key, or 3DES)
Name Code KEX Auth Encryption MAC
---------------------- ---------- --- ---- --------------------- ---
EDH-RSA-DES-CBC3-SHA 0x00, 0x16 DH RSA 3DES-CBC(168) SHA1
ECDHE-RSA-DES-CBC3-SHA 0xC0, 0x12 ECDH RSA 3DES-CBC(168) SHA1
DES-CBC3-SHA 0x00, 0x0A RSA RSA 3DES-CBC(168) SHA1
The fields above are :
{Tenable ciphername}
{Cipher ID code}
Kex={key exchange}
Auth={authentication}
Encrypt={symmetric encryption method}
MAC={message authentication code}
{export flag}因此,我使用命令"netstat -tulnp“检查此主机以获取源代码,如下所示:
tcp6 0 0 :::443 :::* LISTEN 67529/httpd"ps 67529“的输出说,目标是从这里:
PID TTY STAT TIME COMMAND
67529 ? Ss 0:00 /usr/sbin/httpd -DFOREGROUND从"httpd -v“获取的httpd版本如下所示:
Server version: Apache/2.4.6 (CentOS)为了解决此漏洞,我编辑了/etc/ httpd /conf.d文件,并确保存在以下参数,并最终重新启动httpd以应用更改:
SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA
SSLHonorCipherOrder on然而,在再次使用Tenable扫描后,报告仍然显示了此漏洞插件42873!有人能帮忙吗?不确定应该编辑哪个地方来处理ssl密码。
如果有任何提示的话,谢谢。
回答 1
Unix & Linux用户
回答已采纳
发布于 2022-11-03 09:08:24
最后,我编辑了"SSLCipherSuite“的内容如下:
ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384
并将"SSLHonorCipherOrder“改为off。
这个问题解决了。
感谢@Steffen Ullrich的提示!
页面原文内容由Unix & Linux提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://unix.stackexchange.com/questions/720795
复制相关文章
相似问题
腾讯云开发者
