RHEL 中 https 的 SSL 中等强度密码套件支持 (SWEET32) 漏洞

RHEL 中 https 的 SSL 中等强度密码套件支持 (SWEET32) 漏洞

刚刚从 Tenable Nessus 扫描得到结果,显示 RHEL 7.5 主机容易受到 TCP 端口 443 上的插件 42873:“支持 SSL 中等强度密码套件 (SWEET32)”的攻击。

Tenable Nessus 报告详细介绍如下:

Medium Strength Ciphers (> 64-bit and < 112-bit key, or 3DES)

    Name                          Code             KEX           Auth     Encryption             MAC
    ----------------------        ----------       ---           ----     ---------------------  ---
    EDH-RSA-DES-CBC3-SHA          0x00, 0x16       DH            RSA      3DES-CBC(168)          SHA1
    ECDHE-RSA-DES-CBC3-SHA        0xC0, 0x12       ECDH          RSA      3DES-CBC(168)          SHA1
    DES-CBC3-SHA                  0x00, 0x0A       RSA           RSA      3DES-CBC(168)          SHA1

The fields above are :

  {Tenable ciphername}
  {Cipher ID code}
  Kex={key exchange}
  Auth={authentication}
  Encrypt={symmetric encryption method}
  MAC={message authentication code}
  {export flag}

所以我使用命令“netstat -tulnp”检查该主机以获取源,如下所示:

tcp6       0      0 :::443                  :::*                    LISTEN      67529/httpd

“ps 67529”的输出表明目标来自这里:

   PID TTY      STAT   TIME COMMAND
 67529 ?        Ss     0:00 /usr/sbin/httpd -DFOREGROUND

下面列出了 httpd 的版本,从“httpd -v”获取:

Server version: Apache/2.4.6 (CentOS)

为了解决这个漏洞,我编辑了/etc/httpd/conf.d/ssl.conf文件并确保以下参数确实存在,并最终重新启动httpd以应用更改:

SSLProtocol all -SSLv2 -SSLv3 -TLSv1 -TLSv1.1
SSLCipherSuite HIGH:3DES:!aNULL:!MD5:!SEED:!IDEA
SSLHonorCipherOrder on

然而,再次使用Tenable Nessus扫描后,报告仍然显示此漏洞插件42873!有人可以帮忙吗?不确定应该编辑哪个位置来处理 ssl 密码的内容。

如果有任何提示,谢谢。

答案1

最后,我编辑了“SSLCipherSuite”的内容如下:

ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384

并将“SSLHonorCipherOrder”更改为off.

问题解决了。

感谢@Steffen Ullrich 的提示!!!

相关内容