centos 升级 openssl - CVE-2016-0800 - 淹没攻击

Question 1

CentOS 软件包是从 Red Hat Enterprise Linux 的源代码重建的。Red Hat反向移植安全修复他们的软件包，这意味着尽管版本看起来很旧，但它已打补丁以修复安全漏洞。例如，具体到您关心的 CVE，可以找到安全勘误表的链接这里。如果您点击那里的链接，您会发现 openssl-1.0.1e-42.el6_7.4 已针对 CVE-2016-0800 进行了修补。

Answer

CentOS 软件包是从 Red Hat Enterprise Linux 的源代码重建的。Red Hat反向移植安全修复他们的软件包，这意味着尽管版本看起来很旧，但它已打补丁以修复安全漏洞。例如，具体到您关心的 CVE，可以找到安全勘误表的链接这里。如果您点击那里的链接，您会发现 openssl-1.0.1e-42.el6_7.4 已针对 CVE-2016-0800 进行了修补。

Question 2

好的，我在 drownattack.com 上查找了有漏洞的服务器。

我看到了易受攻击的端口 - POP3、IMAP、443 等。现在我通过“yum update”更新到最新的 openssl - 它已经被修补（根据https://www.linuxos.pro/drown-attack-cve-2016-0800/): “openssl-1.0.1e-42.el6_7.4”。

要在我的服务（apache 和 postfix）上禁用 sslv2 - 以防万一：

我编辑了 httpd 的配置（/etc/httpd/conf.d/ssl.conf）并取消注释行“#SSLProtocols...”并对其进行了编辑：

SSLProtocol All -SSLv2 -SSLv3

测试它（重新启动apache之后）：

openssl s_client -ssl2 -connect www.example.com:443

得到：

CONNECTED(00000003)
140313005905736:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

所以它被禁用了。现在 postfix：编辑 /etc/postfix/main.cf 并在底部添加：

smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3

测试了一下（重启postfix之后，例如POP3）：

openssl s_client -connect x.x.x.x:110 -starttls pop3 -ssl2

得到

CONNECTED(00000003)
140110128891720:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

并且它也已被禁用。

Answer

好的，我在 drownattack.com 上查找了有漏洞的服务器。

我看到了易受攻击的端口 - POP3、IMAP、443 等。现在我通过“yum update”更新到最新的 openssl - 它已经被修补（根据https://www.linuxos.pro/drown-attack-cve-2016-0800/): “openssl-1.0.1e-42.el6_7.4”。

要在我的服务（apache 和 postfix）上禁用 sslv2 - 以防万一：

我编辑了 httpd 的配置（/etc/httpd/conf.d/ssl.conf）并取消注释行“#SSLProtocols...”并对其进行了编辑：

SSLProtocol All -SSLv2 -SSLv3

测试它（重新启动apache之后）：

openssl s_client -ssl2 -connect www.example.com:443

得到：

CONNECTED(00000003)
140313005905736:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

所以它被禁用了。现在 postfix：编辑 /etc/postfix/main.cf 并在底部添加：

smtpd_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_mandatory_protocols = !SSLv2 !SSLv3
smtp_tls_protocols = !SSLv2, !SSLv3
smtpd_tls_protocols = !SSLv2 !SSLv3

测试了一下（重启postfix之后，例如POP3）：

openssl s_client -connect x.x.x.x:110 -starttls pop3 -ssl2

得到

CONNECTED(00000003)
140110128891720:error:1407F0E5:SSL routines:SSL2_WRITE:ssl handshake failure:s2_pkt.c:429:

并且它也已被禁用。

Question 3

对于那些担心 Qualys SSLLabs 证书测试由于 DROWN 和 POODLE 而给出低于“A”的等级/评级的人来说，这些链接提供了最好的解决方法：

https://access.redhat.com/solutions/1232413

和

https://blog.qualys.com/ssllabs/2013/03/19/rc4-in-tls-is-broken-now-what#comment-8643

我在 EC2 实例中遇到了这个问题，在 AWS 技术人员的大力支持下，我发现你必须在每个 VirtualHost 指令以使其正常工作。

<VirtualHost *:443>
    DocumentRoot ...
    ServerName ...
    ServerAlias ...
    SSLEngine ON
    SSLProtocol -All +TLSv1 +TLSv1.1 +TLSv1.2
    SSLCipherSuite "EECDH+ECDSA+AESGCM EECDH+aRSA+AESGCM \
        EECDH+ECDSA+SHA384 EECDH+ECDSA+SHA256 \
        EECDH+aRSA+SHA384 EECDH+aRSA+SHA256 \
        EECDH EDH+aRSA \
        !aNULL !eNULL !LOW !3DES !MD5 !EXP !PSK !SRP !DSS !RC4"
    SSLHonorCipherOrder on
    SSLCertificateFile /etc/httpd/conf/ssl.crt/...
    SSLCertificateKeyFile /etc/httpd/conf/ssl.crt/...
    SSLCACertificateFile /etc/httpd/conf/ssl.crt/...
    ErrorLog logs/...
    CustomLog logs/... combined
</VirtualHost>

每当发现新的漏洞或者您认为某些密码较弱等时，上述 SSLCipherSuite 值就应该更改。

定期测试您的 SSL 设置是一个好主意。

编辑：这是将 openssl 库升级到 1.0.1e_42.el6_7.4（适用于 CENTOS 6）的补充

Answer