警惕采用RC4算法的服务器可能引发的信息安全风险

admin 2024年11月6日19:47:20评论5 views字数 3551阅读11分50秒阅读模式
事件概述

在最近的一次基线核查过程中,我们发现了一台内网服务器存在SSL/TLS RC4信息泄露漏洞(CVE-2013-2566)。由于RC4算法的加密强度较弱,它可能被恶意攻击者利用,以获取或篡改通信内容。针对这一问题,我们立即采取了修复措施,包括升级相关软件版本,禁用RC4算法,并启用更安全的加密协议。

漏洞详细描述

安全套接层(Secure Sockets Layer,简称SSL)是一种旨在为网络通信提供安全性和数据完整性的安全协议。该协议最初由网景公司(Netscape)在其首版Web浏览器发布时提出。SSL通过在传输层对网络连接进行加密来实现其安全目标。随后,互联网工程任务组(IETF)对SSL进行了标准化,并发布了传输层安全(Transport Layer Security,简称TLS),其与SSL的3.0版本仅有细微差别。

然而,SSL/TLS中使用的RC4算法存在一个安全漏洞,即单字节偏差问题。这一漏洞可能使远程攻击者通过分析大量重复的明文会话数据,利用统计方法来恢复出原始的纯文本信息。

关于该漏洞的详细信息如下:
SSL/TLSRC4信息泄露漏洞(CVE-2013-2566)
1 威胁分值 5.9(中危)
2 危险插件
3 发现日期 2013-03-15
4 CVE编号 CVE-2013-2566
5 BUGTRAQ 58796
6 CNNVD编号 CNNVD-201303-335
7 CNCVE编号 CNCVE-20132566
8 CVSS评分 4.3
9 CNVD编号 CNVD-2013-02724

解决办法

建议:避免使用RC4算法,优先选择更为安全的AES等加密算法。

禁止apache服务器使用RC4加密算法

编辑ssl.conf文件

使用vi编辑器(你也可以使用nano等其他文本编辑器):

输入命令vi /etc/httpd/conf.d/ssl.conf。

在文件中找到SSLCipherSuite这一行,如果不存在则添加。将其设置为SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4。在vi中,按i进入插入模式进行修改,修改完成后按Esc键,然后输入:wq保存并退出。

重启Apache服务

使用命令systemctl restart httpd。

关于lighttpd加密算法

编辑lighttpd.conf文件

使用文本编辑器(如vi或nano)打开lighttpd.conf文件。

如果使用vi编辑器,在命令行中输入:

vi /etc/lighttpd/lighttpd.conf(假设lighttpd.conf文件在/etc/lighttpd/目录下,不同系统可能有不同的默认安装路径)

找到ssl.cipher - list这一行,将其内容修改为:

ssl.cipher - list="EECDH+AESGCM:EDH+AESGCM:ECDHE - RSA - AES128 - GCM - SHA256:AES256+EECDH:AES256+EDH:ECDHE - RSA - AES256 - GCM - SHA384:DHE - RSA - AES256 - GCM - SHA384:DHE - RSA - AES128 - GCM - SHA256:ECDHE - RSA - AES256 - SHA384:ECDHE - RSA - AES128 - SHA256:ECDHE - RSA - AES256 - SHA:ECDHE - RSA - AES128 - SHA:DHE - RSA - AES256 - SHA256:DHE - RSA - AES128 - SHA256:DHE - RSA - AES256 - SHA:DHE - RSA - AES128 - SHA:ECDHE - RSA - DES - CBC3 - SHA:EDH - RSA - DES - CBC3 - SHA:AES256 - GCM - SHA384:AES128 - GCM - SHA256:AES256 - SHA256:AES128 - SHA256:AES256 - SHA:AES128 - SHA:DES - CBC3 - SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

在vi中,使用方向键移动到相应位置,按i键进入插入模式进行修改,修改完成后按Esc键退出插入模式,然后输入:wq保存并退出。

重启lighttpd服务

在基于Systemd的系统(如CentOS 7+、Ubuntu 16.04+等)上:

执行命令systemctl restart lighttpd。

在基于SysVinit的系统上:

执行命令service lighttpd restart。

Windows系统建议参考官网链接修复:

https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4
Windows:
方法一:

通过控制面板导航至“系统和安全”>“管理工具”>“本地安全策略”>“本地策略”>“安全选项”,找到“系统加密:将FIPS兼容算法用于加密、哈希和签名”的设置。右键点击该选项,选择“属性”,然后点击“已启用”,最后确认更改。请注意,启用此设置后,某些仅支持RC4算法的服务可能无法正常运行。

方法二:
注册表中启用TLS1.2:
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS1.2]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS1.2Client]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsTLS1.2Server]
"DisabledByDefault"=dword:00000000
"Enabled"=dword:00000001
注册表中禁用SSL2.0
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL2.0]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocolsSSL2.0Client]
"DisabledByDefault"=dword:00000000
禁用RC4
注册表中将RC4启用项都禁止,没有项需要新建
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphers]
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC4128/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC440/128]
"Enabled"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELCiphersRC456/128]
"Enabled"=dword:00000000

验证方法

依据SSL/TLS RC4信息泄露漏洞(CVE-2013-2566)的原理,我们可以使用工具(openssl)来测试和验证服务器的SSL/TLS配置,

openssl s_client -connect <hostname>:<port> -cipher 'RC4'

替换<hostname>和<port>为你想要测试的服务器地址和端口。如果命令输出显示出来的是服务器支持的密码套件中包含RC4算法,那么就说明存在问题。

原文始发于微信公众号(长风实验室):警惕采用RC4算法的服务器可能引发的信息安全风险

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月6日19:47:20
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   警惕采用RC4算法的服务器可能引发的信息安全风险https://cn-sec.com/archives/3365454.html

发表评论

匿名网友 填写信息