qt 中使用openssl_openSSL漏洞致使SSL证书安全配置评级F
原文閱讀:openSSL漏洞致使SSL證書安全配置評級F
SSL數字證書在服務器配置不當會暴露更多的安全漏洞,因此給黑客提供了攻擊網站提供了便利和入口,通常我們會借助SSLLABS進行測試SSL安全部署的評級結果,評級結果A+、A都是相對比較安全的安全配置。
通常交換密鑰、加密算法、加密套件等都正常的情況下,使用SSLLABS得到評測結果為F時,一般都是致命缺陷,通常是因舊版的OpenSSL或者使用OpenSSL編譯產生的漏洞。本案例中拋出的錯誤信息如下:
- 服務器易受攻擊,引起原因:OpenSSL CCS vulnerability (CVE-2014-0224),評級F;
- 服務器易受攻擊,引起原因:OpenSSL Padding Oracle vulnerability (CVE-2016-2107) 評級F;
- 服務器易受攻擊,引起原因:Heartbleed attack. 評級F;
關于漏洞的專業解釋參考:常見的幾種SSL/TLS漏洞及攻擊方式
OpenSSL CCS 注入漏洞(CVE-2014-0224)
這是一個2014年暴出的OpenSSL的嚴重安全漏洞,該漏洞使得攻擊者可以攔截惡意中間節點加密和解密數據,同時迫使使用弱密鑰的SSL客戶端暴露在惡意節點。當軟件使用OpenSSL的受影響版本,通過網頁瀏覽、電子郵件和VPN進行內容和身份驗證等加密通訊時會有篡改的風險。
受影響的版本
- OpenSSL 1.0.1 - 1.0.1g
- OpenSSL 1.0.0 - 1.0.0l
- OpenSSL 0.9.8y 早前的所有版本
OpenSSL Padding Oracle 攻擊(CVE-2016-2017)
這是一個2016年暴出的OpenSSL的嚴重安全漏洞,該漏洞對于開源加密庫的影響可以被用來進行中間人攻擊。只要用于連接的是AES CBC密碼和支持AES NI的服務器,那么攻擊者就可以利用“Padding Oracle攻擊”解密HTTPS通信。
受影響的版本
- OpenSSL 1.0.2 - 1.0.2h
- OpenSSL 1.0.1 - 1.0.1t
- OpenSSL 1.0.0
- OpenSSL 0.9.8 早前所有版本
心血漏洞(Heartbleed)(CVE-2014-0160)
在OpenSSL1.0.1版本的心跳包模塊存在嚴重漏洞(CVE-2014-0160),攻擊者可以通過構造特殊的數據包,直接遠程讀取存在漏洞的OpenSSL服務器內存中多達64KB的數據,極有可能導致網站用戶帳號密碼等敏感數據被非法獲取。
受影響的版本
- OpenSSL 1.0.1f
解決方案
1、所以本測試場景解決這些漏洞和評級的辦法就是升級openSSL版本
openssl version -a OpenSSL 1.0.2g 1 Mar 2016保證openssl的版本不在上述受影響的版本范圍內即可,然后重新編譯時加入最新的openSSL版本
2、重新編譯時移除弱加密支持,例如我們在編譯Nginx版本時不要再加上弱加密支持
--with-openssl=/root/openssl --with-openssl-opt=enable-weak-ssl-ciphers #本行移除編譯后的服務器再使用SSLLABS測試可正常達到A的評級,關于Nginx的編譯安裝請參考:指定版本的openSSL編譯安裝Nginx
更多資訊請關注infinisign.com 官網,關注同名微信公眾號獲取更多優惠
INFINISIGN總結
以上是生活随笔為你收集整理的qt 中使用openssl_openSSL漏洞致使SSL证书安全配置评级F的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: 为什么阿里巴巴要求 POJO 中不能使用
- 下一篇: 用了HTTPS,没想到还是被监控了!