首页
站长论坛BBS
救助
投稿
discuz视频教程
discuz技术支持
版块
登录
快速注册

Openssl FREAK 中间人劫持漏洞修复方法

ARCHY 2015-4-28 [安全] 来自PC 复制链接
01705
discuz使用视频教程
31idc

马上注册,一起探讨正确快速的建站方法

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
方案一:(httpd & nginx用户,推荐)
打开httpd、nginx的配置文件,修改SSL使用的加密算法:
nginx修改为  ssl_ciphers HIGH:!aNULL:!MD5:!EXPORT56:!EXP;
httpd修改为  SSLCipherSuite HIGH:!aNULL:!MD5:!EXPORT56:!EXP
修改完毕后,请重启WEB服务。

方案二:(tomcat用户,推荐)
打开tomcat的配置文件server.xml,在SSL对应的<Connector>中添加下列属性:
tomcat 5,6:
SSLEnabled="true"
sslProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
tomcat >=7:
SSLEnabled="true"
sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"
修改完毕后,请重启tomcat服务。

方案三:(IIS用户,推荐)
在注册表中把不安全的加密算法和不安全的SSL协议禁用。
点击“开始”——“运行”——输入“regedit”——回车
路径定位到 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL,完成下列步骤:
1、打开Protocols\PCT 1.0\Server,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
2、打开Protocols\SSL 2.0\Server,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
3、打开Ciphers\DES 56/56,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
4、打开Ciphers\RC2 40/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
5、打开Ciphers\RC2 128/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
6、打开Ciphers\RC4 40/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
7、打开Ciphers\RC4 56/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
8、打开Ciphers\RC4 128/128,右击空白处新建“字符串值”,命名为“Enabled”。双击该键值,填入0,并确定。
修改完成后,需重启电脑才能生效。

方案四:(IIS用户)
微软官方已经发布针对FREAK漏洞的修复补丁,编号为KB3046049
用户可在自己的服务器上打开“Windows Update”自动更新功能,或自行下载补丁进行安装:
https://www.microsoft.com/en-us/ ... r=2_5_1&first=1
安装更新后,需重启电脑才能生效。

方案五:
首先请确认443端口被哪个服务调用,然后更新该程序所依赖的openssl版本。
推荐把openssl版本更新到最新的 1.0.2a (2015-03-19发布)
OpenSSL的1.0.1的用户应该升级到1.0.1m或以上
OpenSSL的1.0.0的用户应该升级到1.0.0r或以上
OpenSSL的0.9.8的用户应该升级到0.9.8zf或以上
更新完毕后,请重启调用443端口的服务。



上一篇:WordPress4.2及以下版本存在存储XSS等高危漏洞
下一篇:PHP学习 运算符与运算符优先级
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

快速回复 返回顶部 返回列表