【问题标题】:Vulnerability in Redhat Jboss Server (sweet 32) birthday attackRedhat Jboss Server (sweet 32​​) 生日攻击中的漏洞
【发布时间】:2019-03-08 23:24:30
【问题描述】:

我有一个关于 Sweet32 攻击的问题,它说要使用高度安全的密码来配置安全性。但是当我查看浏览器时,它显示“与此站点的连接已使用 TLS 1.2(强协议)、带有 P-256(强密钥交换)的 ECDHE_RSA 和 AES_128_GCM(强密码)进行加密和验证。”我不确定为什么这仍然会引发 CVE-2016-2183 的缺陷。在端口 8443 中有一个 jbpm dash-builder 正在运行。

【问题讨论】:

    标签: java-8 openssl tls1.2 jboss-eap-7


    【解决方案1】:

    浏览器显示它正在使用的协议。这可能不是网络/应用服务器支持的唯一协议。

    您使用的是什么网络服务器?您在那里使用什么库进行 SSL/TLS 连接?通常,它们中的大多数使用 OpenSSL。我认为您已经拥有最新的(或接近的),因为浏览器可以连接到它。

    您使用的是什么版本的 Java?您的应用服务器使用的 JRE 应该禁用较弱的算法。

    大多数 JRE 允许您通过编辑 java.security 文件来禁用较弱的算法:

    jdk.tls.disabledAlgorithms=SSLv3,DESede,DES
    

    除此之外,请确保您的网络服务器仅支持最新的密码。

    【讨论】:

    • 是的,我们使用的是 OPENSSL 1.2v 和 java 1.8,我在 redhat 论坛上看到了相同的解决方案,上面说要禁用 JRE 中的弱算法,我的问题是已经有一些密码那些被禁用并且不包括DESede,所以包括它。我现在需要重启服务器吗?
    • 您可能还想在您的 WEB 服务器上执行此操作。示例:对于 Apache:httpd.apache.org/docs/trunk/en/ssl/ssl_howto.html#ciphersuites
    • 是的,当我从“JRE”java.security 中禁用它时,@Crnlx 已修复。
    猜你喜欢
    • 1970-01-01
    • 1970-01-01
    • 2014-09-14
    • 2015-04-16
    • 2017-09-12
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多