Windows Server 2008或2012 修复CVE-2016-2183(SSLTLS)漏洞的办法

转自 https://www.cnblogs.com/xyb0226/p/14205536.html

一、漏洞说明

Windows server 2008或2012远程桌面服务SSL加密默认是开启的，且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷，当开启远程桌面服务，使用漏洞扫描工具扫描，发现存在SSL/TSL漏洞。

例如如下漏洞：

二、修复办法

1、登录服务器，打开windows powershell，运行gpedit.msc，打开“本地组策略编辑器”。

2、打开“本地组策略编辑器”-“计算机配置”-“管理模板”-“网络”-“SSL配置设置”， 在“SSL密码套件顺序”选项上，右键“编辑”。

3、在“SSL密码套件顺序”选在“已启用（E）” ，在“SSL密码套件”下修改SSL密码套件算法，仅保留TLS 1.2 SHA256 和 SHA384 密码套件、TLS 1.2 ECC GCM 密码套件。

（删除原有内容替换为：

TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256_P521,TLS_ECDHE_ECDSA,WITH_AES_256_GCM_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P521,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P256,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384_P521,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P256,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P384,TLS_ECDHE_ECDSA_WITH_AES_128_CBC_SHA256_P521,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P384,TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384_P521,TLS_DHE_DSS_WITH_AES_128_CBC_SHA256,TLS_DHE_DSS_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_NULL_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA）。

修改后，点击“应用”、“确定”，即可。

4、重启服务器即可。

使用SSL开启重协商的服务都会受该漏洞影响

该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的，renegotiation被用于浏览器到服务器之间的验证。

虽然目前可以在不启用renegotiation进程的情况下使用HTTPS，但很多服务器的默认设置均启用了renegotiation功能。

该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说，则需要20台电脑和120Kbps的网络连接即可实现。

SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。

一、Apache解决办法：

升级到Apache 2.2.15以后版本

二、IIS解决办法：

IIS 5.0启用SSL服务时，也会受影响。可以升级IIS 6.0到更高的版本。

三、Lighttpd解决办法：

建议升级到lighttpd 1.4.30或者更高,并设置ssl.disable-client-renegotiation = "enable"。

四、Nginx解决办法：

0.7.x升级到nginx 0.7.64

0.8.x升级到 0.8.23 以及更高版本。

五、Tomcat解决办法：

1、使用NIO connector代替BIO connector，因为NIO不支持重协商，参考如下配置：

<Connector protocol="org.apache.coyote.http11.Http11NioProtocol">

（可能会影响Tomcat性能）；

2、配置Nginx反向代理，在Nginx中修复OpenSSL相关问题。

六、Squid解决办法:

升级到3.5.24以及以后版本

扩展资料：

分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用，分布式拒绝服务攻击已经出现了很多次，导致很多的大型网站都出现了无法进行操作的情况，这样不仅仅会影响用户的正常使用，同时造成的经济损失也是非常巨大的。

分布式拒绝服务攻击方式在进行攻击的时候，可以对源IP地址进行伪造，这样就使得这种攻击在发生的时候隐蔽性是非常好的，同时要对攻击进行检测也是非常困难的，因此这种攻击方式也成为了非常难以防范的攻击。

参考资料来源：百度百科--分布式拒绝服务攻击

近日，Qualys研究团队公开披露了在Polkit的pkexec 中发现的一个权限提升漏洞，也被称为PwnKit。该漏洞是由于pkexec 无法正确处理调用参数，从而将环境变量作为命令执行，任何非特权本地用户可通过此漏洞获取root权限。目前该漏洞PoC已公开。

具有任意用户权限的攻击者都可以在默认配置下通过修改环境变量来利用此漏洞，从而获得受影响主机的root 权限。

Polkit预装在CentOS、Ubuntu、Debian、Redhat、Fedora、Gentoo、Mageia等多个Linux发行版上，所有存在Polkit的Linux系统均受影响。

以下为安全版本

注意：版本号必须完全一致，否则还是存在漏洞。最好的办法是通过代码验证，验证代码库地址： https://github.com/berdav/CVE-2021-4034

切换到源代码目录，编译，运行，输入命令whami可以看到当前用户已经变成了root。

事实证明确实存在此漏洞！

以下命令在Rocky Linux 8.5上验证，可以修复CVE-2021-4034漏洞

命令的含义

yum clean all ：清除所有的缓存信息，包括packages、metadata、headers，这个命令相当于执行了下面三条命令

yum makecache ： 生成缓存

此时再执行验证代码，可以发现已经无法提升权限。

注意 ：在某些CentOS 8版本中，执行 yum update polkit -y 之后，polkit的版本号显示为：polkit-libs-0.115-12.el8.x86_64，经过验证，此版本仍然存在漏洞。此时只能通过下面的临时缓解措施解决。

CentOS 8 操作系统可能确实无法通过 yum update polkit -y 的方法修复漏洞，这是因为C entOS 8已经于2021年12月31日停止更新并停止维护（EOL）。

那么只能通过临时缓解措施解决了。

缓解之前的

缓解之后的

变化在于文件/usr/bin/pkexec的权限由之前的4755变成了0755

本次测试环境在阿贝云免费云服务器（https://www.abeiyun.com/）上进行，阿贝云目前正在进行"免费虚拟主机"和“免费云服务器”体验活动，感兴趣的可以试试。

---