漏洞详情
POODLE(Padding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影响了使用最广泛的加密标准——SSLv3.0,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。目前我们要通过禁用SSLv3去修复此漏洞。
检测方法
在线网站检测
https://www.ssleye.com/ssltool/poodle.html
https://cim.itrus.cn/?spm=a2c6h.12873639.0.0.389761ffcSZkqI#/
https://www.site24x7.cn/tools/check-ssl3-vulnerability.html
本地检测
kali的工具sslscan
sslscan -tlsall ip
解决方法
apache默认支持SSLv3,TLSv1,TLSv1.1,TLSv1.2协议
(注:ssl功能需要在http.conf中启用LoadModule ssl_module modules/mod_ssl.so)
apache默认配置如下
SSLProtocol All -SSLv2
进入目录/usr/local/apache/conf/extra
vi修改ssl.conf按照如下配置,目的是关闭sslv3协议
SSLEngine on
SSLProtocol all -SSLv2 -SSLv3
SSLProtocol TLSv1.2
配置保存后,需要service httpd restart重启apache使配置生效
通过google浏览器F12进入开发模式,点击security,可以看到浏览器访问当前域名使用的ssl协议为TLS1.2。
参考:https://www.php.cn/apache/467272.html
|