SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)

详细描述 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。
解决办法 临时解决方法: 

SSL/TLS 
-------- 
1、禁止apache服务器使用RC4加密算法 
vi /etc/httpd/conf.d/ssl.conf 
修改为如下配置 
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4 
重启apache服务 
2、关于nginx加密算法 
1.0.5及以后版本,默认SSL密码算法是HIGH:!aNULL:!MD5 
0.7.65、0.8.20及以后版本,默认SSL密码算法是HIGH:!ADH:!MD5 
0.8.19版本,默认SSL密码算法是 ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM 
0.7.64、0.8.18及以前版本,默认SSL密码算法是ALL:!ADH:RC4+RSA:+HIGH:+MEDIUM:+LOW:+SSLv2:+EXP 
低版本的nginx或没注释的可以直接修改域名下ssl相关配置为 
ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES 
256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GC 
M-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"; 
ssl_prefer_server_ciphers on; 
需要nginx重新加载服务 

3、关于lighttpd加密算法 
在配置文件lighttpd.conf中禁用RC4算法,例如: 
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4" 

重启lighttpd 服务。 

4、tomcat参考: 
https://tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html 
https://tomcat.apache.org/tomcat-7.0-doc/ssl-howto.html 

5、浏览器手工屏蔽方案 
Windows 用户: 
1)完全关闭 Chrome 浏览器和Mozilla Firefox浏览器 
2)复制一个平时打开 Chrome 浏览器(Mozilla Firefox浏览器)的快捷方式 
3)在新的快捷方式上右键点击,进入属性 
4)在「目标」后面的空格中字段的末尾输入以下命令 --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 

Mac OS X 用户: 
1)完全关闭 Chrome 浏览器 
2)找到本机自带的终端(Terminal) 
3)输入以下命令:/Applications/Google\ Chrome.app/Contents/MacOS/Google\ Chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007 

Linux 用户: 
1)完全关闭 Chrome 浏览器 
2)在终端中输入以下命令:google-chrome --cipher-suite-blacklist=0x0004,0x0005,0xc011,0xc007
威胁分值 4.3
危险插件
发现日期 2015-03-30
CVE编号 CVE-2015-2808
NSFOCUS 30491
CNNVD编号 CNNVD-201503-654
CNCVE编号 CNCVE-20152808
CVSS评分 4.3

转载请说明出处:第六感博客 原文链接:

相关阅读:

Windows Server 2008或2012 修复CVE-2016-2183(SSL/TLS)漏洞修复

网站漏洞之:possible .net error message

网站漏洞之:检测到目标web应用表单密码类型输入启用了自动完成操作

网站漏洞之:IIS短文件名泄露漏洞