【漏洞修复】TLSprotocol中间⼈攻击漏洞(CVE-2015-4000)升级ssh
⽂章⽬录
问题描述
TLS(Transport Layer Security,安全传输层协议)是⼀套⽤于在两个通信应⽤程序之间提供保密性和数据完整性的协议。
TLS协议1.2及之前版本中存在安全漏洞。当服务器启⽤DHE_EXPORT密码套件时,程序未能正确传递DHE_EXPORT选项。攻击者可通过重写ClientHello(使⽤DHE_EXPORT取代DHE),然后重写ServerHello(使⽤DHE取代DHE_EXPORT),利⽤该漏洞实施中间⼈攻击和cipher-downgrade攻击。
解决⽅案
如果您有 Web 或邮件服务器,则应禁⽤对导出密码套件的⽀持并使⽤ 2048 位 Diffie-Hellman 组。我们已经发布了⼀份指南,为 TLS 部署 Diffie-Hellman,其中包含分步说明。如果您使⽤ SSH,您应该将您的服务器和客户端安装升级到最新版本的 OpenSSH。
cve漏洞库详细描述见:
Centos7下rpm升级OpenSSH到openssh-8.8p1版本
CentOS7下载地址:
下载rpm包:
安装⽅法⼀:
rpm -Uvh *.rpm
安装⽅法⼆(此⽅法会⾃动处理依懒关系):
yum install ./*.rpm
部分机器使⽤⽅法⼆安装会提⽰依赖问题,可以使⽤以下⽅法:
yum update *.rpm
⾄此,升级完成,如果之前升级过的,下⾯的就不⽤看了,直接新开SSH终端连接即可。
因为OPENSSH升级后,/etc/ssh/sshd_config会还原⾄默认状态,我们需要进⾏相应配置:
cd /etc/ssh/
chmod 400 ssh_host_ecdsa_key ssh_host_ed25519_key ssh_host_rsa_key
echo “PermitRootLogin yes” >> /etc/ssh/sshd_config
echo “PasswordAuthentication yes” >> /etc/ssh/sshd_config
systemctl restart sshd

版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。