題 如何修復CVE-2014-0224 OpenSSL漏洞?


我剛剛用我的網站掃描過 這個工具 它說我的網站很容易受到CVE-2014-0224的攻擊。我如何解決它?

我是否需要獲得新的證書?我從enom購買的那個。這是他們的錯嗎?或者它是我的Web服務器(webfaction)的錯誤?

它還說:

RC4密碼與TLS 1.1或更新的協議一起使用,即使可以使用更強的密碼。

服務器不支持使用參考瀏覽器的Forward Secrecy。

我不知道這些是否都是SSL證書的錯誤,或者我的服務器是否需要支持正確提供?


2
2018-06-29 20:39


起源


這是什麼類型的服務器? VPS?共享主機? Ubuntu的? CentOS的? - Paul
@Paul共享主機,Centos 6 - 64位。 - mpen
假設您沒有root訪問權限,請與您的ISP聯繫並讓他們修復它,或者切換ISP。 - Paul
@Paul ISP?你的意思是主機提供商“ISP”是我從家裡購買互聯網連接的人。 - mpen
@Paul不知道ISP包括“託管ISP”,認為它特別指的是“訪問提供商”。很公平。 - mpen


答案:


您需要升級服務器上的OpenSSL版本。該漏洞存在於軟件代碼本身中。

你可以在這裡閱讀更多: http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0224 
或者在這裡:
http://www.openssl.org/news/secadv_20140605.txt

編輯:重要文字是:

OpenSSL 0.9.8 SSL / TLS用戶(客戶端和/或服務器)應升級到0.9.8za。
  OpenSSL 1.0.0 SSL / TLS用戶(客戶端和/或服務器)應升級到1.0.0m。
  OpenSSL 1.0.1 SSL / TLS用戶(客戶端和/或服務器)應升級到1.0.1h。


3
2018-06-29 20:59



這是應該做的唯一救贖。您應該在修補並重新啟動後撤消以前的證書。 - Ramhound


CVE-2014-0224需要更新openssl。

RC4密碼與TLS 1.1或更新的協議一起使用,即使如此   更強的密碼可用。

服務器不支持使用參考瀏覽器的Forward Secrecy。

僅僅是Web服務器配置問題。

像這樣的東西(假設一個apache):

SSLCertificateFile server.crt
SSLCertificateKeyFile server.key
SSLProtocol All -SSLv2 -SSLv3
SSLHonorCipherOrder On
SSLCompression off
# Add six earth month HSTS header for all users...
Header add Strict-Transport-Security "max-age=15768000"
# If you want to protect all subdomains, use the following header
# ALL subdomains HAVE TO support HTTPS if you use this!
# Strict-Transport-Security: max-age=15768000 ; includeSubDomains
SSLCipherSuite 'EDH+CAMELLIA:EDH+aRSA:EECDH+aRSA+AESGCM:EECDH+aRSA+SHA384:EECDH+aRS
A+SHA256:EECDH:+CAMELLIA256:+AES256:+CAMELLIA128:+AES128:+SSLv3:!aNULL:!eNULL:!LO
W:!3DES:!MD5:!EXP:!PSK:!DSS:!RC4:!SEED:!ECDSA:CAMELLIA256-SHA:AES256-SHA:CAMELLIA
128-SHA:AES128-SHA'

推薦人 https://bettercrypto.org /應用加密硬化。 使用HTTP嚴格傳輸安全性(hsts)應該仔細判斷,因為它可能會破壞事物,並大大增加服務器負載。從安全角度來看,建議使用。

您的證書可能沒問題,但如果它已經與openssl的一個可用的可利用版本一起使用,那麼您必須更換它(它可能會受到損害)。

但是,升級openssl和配置Web服務器將需要超級用戶權限。如果您使用共享主機,除了要求託管公司修復它之外,您無能為力。而他們,可能不會給出該死的。


2
2018-06-29 23:18



我已經提交了一張票。如果他們說“不”,我會切換到VPS。我已經有了一個,但我不想經歷轉移的麻煩,然後弄清楚如何自己配置。謝謝(你的)信息! - mpen