srcmini本文概述
修复Apache HTTP和Nginx Web服务器中Logjam漏洞的指南
介绍
Logjam漏洞是由CNRS, Inria Nancy-Grand Est, Inria Paris-Rocquencourt, 微软研究院, 约翰·霍普金斯大学, 密歇根大学和宾夕法尼亚大学的计算机科学家团队于2015年5月20日在TLS库(EXPORT密码)中发现的戴维·阿德里安(David Adrian), 卡尔提克扬·巴尔格万(Karthikeyan Bhargavan), 扎基尔·杜古默(Zakir Durumeric), 皮里克·高德里(Pierrick Gaudry), 马修·格林(Matthew Green), 亚历克斯·哈尔德曼(J.
Logjam漏洞可帮助攻击者(中间人)将TLS连接降级为512位导出级加密。这有助于攻击者读取和修改通过网络连接传输的任何数据。
你会发现, 这很危险, 因为如果你的应用程序容易受到Logjam的攻击, 攻击者可以读取信用卡或敏感信息。这使我想起了怪胎攻击。
Logjam漏洞可以存在于利用TLS的任何协议上, 例如HTTPS, SSH, IPSec, SMTP。
截至5月24日, 前100万个域中有8.4%受Logjam漏洞的影响。
测试客户端是否易受攻击
测试的最简单方法是在浏览器上访问此SSL实验室客户端测试页。
或者, 你也可以尝试这一方法。
测试服务器是否易受攻击
你可以使用多种工具进行测试。
TLS扫描程序–由Testssl.sh提供支持的在线扫描程序, 检查给定站点是否存在TLS错误配置和漏洞(包括Logjam)。
KeyCDN –另一个测试网站是否容易受Logjam攻击的工具。
修复Logjam攻击漏洞
你可以在相应的Web服务器配置上禁用EXPORT密码套件, 以缓解此漏洞。
Apache HTTP服务器
通过在SSL配置文件中添加以下内容来禁用导出密码。
SSLCipherSuite !EXPORT重新启动Apache, 仅此而已。
Nginx的
在nginx.conf文件中添加以下内容
ssl_ciphers '!EXPORT';
#Note: - If you already have ssl_ciphers configured, you just need to add !EXPORT in existing line instead of adding new one.你还可以参考此处在Sendmail, Tomcat, IIS, HAProxy, Lighthttpd等中修复此问题。
下一步是什么?
如果你正在为在线业务寻求持续的安全保护, 则可以考虑使用基于云的WAF。
评论前必须登录!
注册