在进行PCI扫描时,我们使用apache和nginx的ubuntu16 Web服务器已针对针对64位块大小漏洞(Sweet32)的TLS密码进行的生日攻击标记为失败。
威胁: 当在CBC模式下使用时,具有64位块大小的旧版块密码易受实际冲突攻击。 SSL / TLS协议的所有版本均支持使用DES,3DES,IDEA或RC2作为对称加密密码的密码套件。
以下是扫描中提到的详细信息。有人可以在Ubuntu16中对同一应用程序进行修复吗?
IMPACT:
Remote attackers can obtain cleartext data via a birthday attack against a long-duration encrypted session.
SOLUTION:
Disable and stop using DES, 3DES, IDEA or RC2 ciphers.
More information can be found at Microsoft Windows TLS changes docs and Microsoft Transport Layer Security (TLS) registry settings
RESULT:
CIPHER
KEY-EXCHANGE AUTHENTICATION MAC ENCRYPTION(KEY-STRENGTH) GRADE
TLSv1.2 WITH 64-BIT CBC CIPHERS IS
SUPPORTED
DES-CBC3-SHA RSA RSA SHA1 3DES(168) MEDIUM
EDH-RSA-DES-CBC3-SHA DH RSA SHA1 3DES(168) MEDIUM
ECDHE-RSA-DES-CBC3-SHA ECDH RSA SHA1 3DES(168) MEDIUM
答案 0 :(得分:0)
您需要排除这些内容,或者仅在这样的旧系统上使用仅AES:
SSLCipherSuite "AES:!aNULL:!eNULL:!EXP"