CVE-2013-2566 SSL/TLS RC4 信息泄露漏洞 修复方案
详细描述
安全套接层(Secure Sockets Layer,SSL),一种安全协议,是网景公司(Netscape)在推出Web浏览器首版的同时提出的,目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全(Transport Layer Security),IETF对SSL协议标准化(RFC 2246)后的产物,与SSL 3.0差异很小。 SSL/TLS内使用的RC4算法存在单字节偏差安全漏洞,可允许远程攻击者通过分析统计使用的大量相同的明文会话,利用此漏洞恢复纯文本信息。
解决办法
建议:避免使用RC4算法
1、禁止apache服务器使用RC4加密算法
vi /etc/httpd/conf.d/ssl.conf
修改为如下配置
SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4
重启apache服务
2、关于lighttpd加密算法 (lighttpd禁用RC4加密算法)
在配置文件lighttpd.conf中禁用RC4算法,例如:
ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"
重启lighttpd 服务。
3、Windows系统建议参考官网链接修复:(Windows禁用RC4加密算法)
https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4
如何完全禁用 RC4:
笔记
-
在进行以下注册表更改以完全禁用 RC4 之前,您必须安装此安全更新 (2868725)。
-
此安全更新适用于本文中列出的 Windows 版本。但是,此注册表设置也可用于在较新版本的 Windows 中禁用 RC4。(比如windows 2012R2不需要下载补丁,可以直接在注册表禁用RC4)
无论对方支持的密码如何,都不想使用 RC4 的客户端和服务器可以通过设置以下注册表项来完全禁用 RC4 密码套件。以这种方式,任何与必须使用 RC4 的客户端或服务器通信的服务器或客户端都可以阻止连接发生。部署此设置的客户端将无法连接到需要 RC4 的站点,部署此设置的服务器将无法为必须使用 RC4 的客户端提供服务。
-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
"Enabled"=dword:00000000 -
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
"Enabled"=dword:00000000 -
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
"Enabled"=dword:00000000
============================================================================
打开注册表:win+R 键入 regedit
找到上面更改的相应位置
如果Ciphers目录下没有RC4 128/128、RC4 40/128、RC4 56/128
我们可以新建
Please create below RC4 folders in the registry path shown below. Set Enabled = 0.
============================================================================
其他应用程序如何阻止使用基于 RC4 的密码套件
默认情况下,所有应用程序都不会关闭 RC4。直接调用 SChannel 的应用程序将继续使用 RC4,除非它们选择加入安全选项。使用 SChannel 的应用程序可以通过将 SCH_USE_STRONG_CRYPTO 标志传递给 SCHANNEL_CRED 结构中的 SChannel 来阻止 RC4 密码套件进行连接。如果必须保持兼容性,使用 SChannel 的应用程序也可以实现不传递此标志的回退。
参考链接
https://support.microsoft.com/en-us/topic/microsoft-security-advisory-update-for-disabling-rc4-479fd6f0-c7b5-0671-975b-c45c3f2c0540
https://social.technet.microsoft.com/Forums/en-US/faad7dd2-19d5-4ba0-bd3a-fc724d234d7b/how-to-diable-rc4-is-windows-2012-r2?forum=winservergen
https://docs.microsoft.com/zh-CN/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel