在配置文件lighttpd.conf中禁用RC4算法,例如: ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AE...
如果显示sslv3 alerthandshake failure,表示改服务器没有这个漏洞。 三、修补方式 服务器 对于NGINX的修补 修改nginx配置文件中的 ssl_ciphers项 ssl_ciphers"ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-...
CVE-2015-2808 at MITRE Description The RC4 algorithm, as used in the TLS protocol and SSL protocol, does not properly combine state data with key data during the initialization phase, which makes it easier for remote attackers to conduct plaintext-recovery attacks against the initial bytes of ...
SSL/TLS受诫礼(Bar-Mitzvah)攻击漏洞(CVE-2015-2808) 一、漏洞解释 SSL/TLS受诫礼(Bar-Mitzvah)攻击漏洞(CVE-2015-2808)是一种针对SSL/TLS协议的安全漏洞。该漏洞利用了RC4加密算法中的“不变性漏洞”,使得攻击者能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄...
描述: BUGTRAQ ID:73684 CVE(CAN) ID:CVE-2015-2808 RC4加密算法是密钥长度可变的流加密算法簇,由Ron Rivest在1987年设计的。 TLS协议及SSL协议中使用的RC4算法,在初始化阶段没有正确将状态数据与关键字数据组合,这有易于远程攻击者针对流初始字节,执行纯文本恢复攻击。
CVE-2015-2808: RC4 加密问题漏洞-解决方法 一、漏洞描述 SSL/TLS 存在Bar Mitzvah Attack漏洞 详细描述:该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。
Linux解决CVE-2015-2808、CVE-2016-8610漏洞 解决方案 openssl升级到1.0.2o版本,openssh升级到7.7p1版本 注意:以下安装时,请务必再开一个SSH窗口连接所需要升级的服务器,避免ssh升级失败后,无法连接服务器。 1、准备升级的tar包 openssl-1.0.2o.tar.gz openssh-7.7p1.tar.gz 2、使用telnet服务连接...
实战之授权站点漏洞挖掘-CVE-2015-2808 1.危害 SSL/TLS协议是一个被广泛使用的加密协议,Bar Mitzvah攻击实际上是利用了"不变性漏洞",这是RC4算法中的一个缺陷,它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码,信用卡数据和其他敏感信息泄露给黑客。 2.利用 3.防御...
SSL/TLS 存在Bar Mitzvah Attack漏洞(CVE-2015-2808) 详细描述 该漏洞是由功能较弱而且已经过时的RC4加密算法中一个问题所导致的。它能够在某些情况下泄露SSL/TLS加密流量中的密文,从而将账户用户名密码、信用卡数据和其他敏感信息泄露给黑客。 解决办法 1、服务器端禁止使用RC4加密算法。 2、客户端应在浏览器TLS...
主机漏洞-SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】-RC4密码套件 一、漏洞分析 事件起因 2015年3月26日,国外数据安全公司Imperva的研究员Itsik Mantin在BLACK HAT ASIA 2015发表论文《Attacking SSL when using RC4》阐述了利用存在了13年之久的RC4漏洞——不变性弱密钥(《Weakness in ...