当前位置: 首页 > news >正文

支持 SSL 中等强度密码组(SWEET32) - 漏洞检查与修复

漏洞描述:远程主机支持使用提供中等强度加密的 SSL 密码。Nessus 将中等强度视为密钥长度为 64 至 112 位的任何加密,或使用 3DES 加密套件的加密。如果攻击者位于同一物理网络,其将非常容易避开中等强度加密。(Nessus是一款广泛使用的网络漏洞扫描工具,用于发现和评估计算机系统和网络中的安全漏洞。它是一款功能强大的商业工具,由Tenable Network Security开发和维护。)

  漏洞攻击原理:SWEET32是针对使用64位分组密码的SSL/TLS协议的漏洞,攻击者可利用碰撞攻击导致信息泄露。该漏洞利用64位分组密码在CBC模式下的特性,当加密大量数据后可能出现密文块碰撞(即相同输入),从而推导明文。 ‌

image

  方便个人测试SSL协议漏洞的工具及使用:

wget https://github.com/drwetter/testssl.sh/archive/refs/heads/3.2.zip -O testssl.zip
# 一个完全开源的工具,在github上由Dirk Wetter 发起并维护,纯 bash 脚本,不需要安装额外依赖。
# 检测目标服务器的 TLS/SSL 协议、加密套件、漏洞情况(比如 Heartbleed、SWEET32、POODLE、LOGJAM 等)
# 不需要检测的节点都安装这个脚本,他是通过网络进行握手去检测使用的协议。unzip testssl.zip && cd testssl.sh-3.2 yum install -y bind-utils
# apt install -y dnsutils./testssl.sh <IP>:<PORT>

  我目前扫描出的漏洞端口是6443,即K8S集群中ApiServer的协议漏洞,发现我的K8S集群版本比较老,当时可能为了兼容一些老的TLS/SSL协议,并未料到这些协议后面发现了漏洞。(至于要扫描哪些端口,需要进行判断,常见的如443、8443、6443、2379、3306、9200、9443等,任何 TCP 服务端口都可能启用 TLS,可以使用ss -lntp找出监听的TCP端口,然后写进脚本里全部检查一遍最为可靠)。

image

  解决办法:①修改ApiServer参数配置,指定协议种类 ②升级K8S集群版本(通常代价会很大)

vim /etc/kubernetes/manifests/kube-apiserver.yaml--tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
--tls-min-version=VersionTLS12# 修改 manifest 目录下的文件会自动重启,不需要人工重启
kubectl get pods -n kube-system | grep kube-apiserver
http://www.hskmm.com/?act=detail&tid=12118

相关文章:

  • C# WPF CommunityToolkit.MVVM (测试一)
  • linux kernel synchronization rcu
  • 锁定Nvidia驱动版本
  • 第二十一章-sql 注入-union 联合注入 (1)
  • Android开发参考
  • 求出e的值
  • 线段树
  • CSP-S模拟24
  • 今年CSP...
  • 0voice-2.1.1-io多路复用select/poll/epoll
  • Transformer与ViT
  • comfUI背后的技术——VAE - 实践
  • CCPC2023 秦皇岛 M. Inverted
  • redux
  • 20250921 模拟赛 T4 题解
  • 1.3 课前问题列表
  • NOIP 模拟赛十一
  • Proxy 库解析(四)
  • warm-flow 监听器对象获取问题
  • Hexo Butterfly 5.4 分页问题 YAML 错误 解决方法总结
  • js逆向:某Q音乐平台请求数据模拟生成
  • maven
  • 第十一届中国大学生程序设计竞赛网络预选赛(CCPC Online 2025)
  • 网络流
  • 完整教程:数据结构 栈和队列、树
  • 深入解析:【ubuntu】ubuntu中找不到串口设备问题排查
  • 酵母双杂交技术:高通量筛选的突破与不可忽视的三大局限性
  • ubuntu20.04测试cuda
  • Android Studio 配置国内源
  • PyCharm项目上传GitHub仓库(笔记) - 教程