SSL/TLS Bar Mitzvah Attack 漏洞 [ 受诫礼(BAR-MITZVAH) ]

关于SSL/TLS最新漏洞“受戒礼”初步报告

文章： http://www.freebuf.com/articles/network/62442.html 做了详细的说明。

我的业务服务器为Tomcat ，按文中所说的方法增加配置并没有解决问题。然后我对配置做了简单删减后，问题解决。

说明如下：

对文中所说的 server.xml 中SSL connector 加入的内容：

SSLEnabled="true"sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

我去掉了其中的 “TLS_ECDHE_RSA_WITH_RC4_128_SHA” 和 “SSL_RSA_WITH_RC4_128_SHA”
然后重新启动Tomcat后，使用命令 “openssl s_client -connect 192.168.0.3:443 -cipher RC4” 检测，确定问题被解决，命令测试截图如下：

时间： 2024-10-30 03:57:47

SSL/TLS Bar Mitzvah Attack 漏洞 [ 受诫礼(BAR-MITZVAH) ]的相关文章

HTTPS再爆漏洞企业需升级SSL/TLS加密算法

随着CBC和RC4加密算法的相继"沦陷",依赖SSL/TLS的企业需要引起高度重视,选择更安全的加密算法.498)this.w idth=498;' onmousewheel = 'javascript:return big(this)' alt="" src="http://images.51cto.com/files/uploadimg/20130326/1008000.jpg" />最近, 一个来自数个安全研究学术机构成员组成的团队,

FreeRADIUS爆出TLS恢复认证绕过漏洞CVE-2017-9148 2.2x、3.0.x、3.1.x及4.0.x多个版本受影响

一位来自卢森堡学术网络RESTENA的安全研究员发现了FreeRADIUS中存在TLS恢复认证绕过漏洞.纵观漏洞时间轴可发现,来自布拉格经济学院的研究员Luboš Pavlíček已在2017年4月24日独立报告过该漏洞. FreeRADIUS是什么 FreeRADIUS是全球最受欢迎的Radius服务器."它是多项商务服务的基础,为很多世界500强公司和一级网络服务提供商提供AAA服务需求,还被广泛用于企业Wi-Fi和IEEE 802.1X网络安全,尤其是学术社区,包括eduroam.&quo

SSL/TLS协议漏洞影响TLS协议1.0及SSL所有版本

9月21日布宜诺斯艾利斯举行的Ekoparty安全会议上,安全研究人员Thai Duong和Juliano Rizzo将演示针对SSL/TLS的概念验证攻击. 研究人员在SSL/TLS协议中发现了严重弱点,能让黑客悄悄破译Web服务器和终端用户浏览器之间传输的加密数据. 弱点主要影响TLS协议1.0版及SSL所有版本,TLS 1.1/1.2未受影响.TLS是SSL的继任者,TLS 1.0相当于SSL 3.1.研究人员的概念验证代码BEAST可以解密目标网站的cookies,获得权限访问受限用户的

互联网上前一百万个网站的 SSL/TLS 分析

目前看来评估不同的SSL/TLS配置已经逐渐成为了我的业余爱好.在10月份发表了Server Side TLS之后,我参与一些讨论密码性能.key的长短.椭圆曲线的安全等问题的次数都明显增多了(比较讽刺的是,当初之所以写"Server Side TLS"就是非常天真的希望减少我在这个话题上的讨论次数). SSL/TLS服务器端的配置教程如今越来越多.其中很快就得到关注的一篇是Better Crypto,我们曾经也在dev-tech-crpto邮件列表中讨论了多次. 人们总是对这些话题非

SSL/TLS协议运行机制的概述

互联网的通信安全,建立在SSL/TLS协议之上. 本文简要介绍SSL/TLS协议的运行机制.文章的重点是设计思想和运行过程,不涉及具体的实现细节.如果想了解这方面的内容,请参阅RFC文档. 一.作用不使用SSL/TLS的HTTP通信,就是不加密的通信.所有信息明文传播,带来了三大风险. (1) 窃听风险(eavesdropping):第三方可以获知通信内容. (2) 篡改风险(tampering):第三方可以修改通信内容. (3) 冒充风险(pretending):第三方可以冒充他人身份参与通

在 Tomcat 中配置 SSL/TLS 以支持 HTTPS

本件详细介绍了如何通过几个简单步骤在 Tomcat 中配置 SSL/TLS .使用 JDK 生成自签名的证书,最终实现在应用中支持 HTTPS 协议. 生产密钥和证书 Tomcat 目前只能操作 JKS.PKCS11.PKCS12 格式的密钥存储库.JKS 是 Java 标准的"Java 密钥存储库"格式,是通过 keytool 命令行工具创建的.该工具包含在 JDK 中.PKCS12 格式一种互联网标准,可以通过 OpenSSL 和 Microsoft 的 Key-Manager 来

安全与性能可以兼得：优化SSL/TLS保障网站安全

如今,HTTPS更快也更安全,使用HTTPS的企业网站也比以往更多.尽管Web开发人员或网络架构师忙碌依旧,却很难跟上互联网技术的最新发展. 在本文中,笔者将讨论通过SSL保障现代网站安全的最佳方法.现代SSL除了要保障企业网站的安全外,还要兼顾性能.因此,本文会涉及一些有助于提高网站性能的SSL优化方法. 在讨论所谓的最佳方法之前,我们首先看几个SSL和TLS术语.从技术上讲,SSL已经被TLS(传输层安全)协议代替,但是多数人仍将SSL和TLS混称为SSL.除非SSL后有一个版本号,否则此文

苹果 SSL/TLS Bug的细节

近日,苹果向iOS用户推送了一个安全更新,指出在iOS系统中SSL/TLS安全连接存在严重的bug,但并没有给出更详细的说明.对此问题的解答已经出现在Hacker News的头条,我想大家都已经知道了这个漏洞,也不需要再胡乱猜测了. 以下就是导致这个bug的一段代码: static OSStatus SSLVerifySignedServerKeyExchange(SSLContext *ctx, bool isRsa, SSLBuffer signedParams, uint8_t *sign