CVE-2016-2183 修復過程，親測有效

1. 問題描述

SSL/TLS協議信息泄露漏洞(CVE-2016-2183)

TLS是安全傳輸層協議，用於在兩個通訊應用程序之間提供保密性和數據完整性。
TLS, SSH, IPSec協商及其餘產品中使用的DES及Triple DES密碼存在大約四十億塊的生日界，這可以使遠程攻擊者經過Sweet32攻擊，獲取純文本數據。

2.問題解決過程

首先從這個漏洞介紹中得知

• https://www.openssl.org/news/secadv/20160922.txt

OpenSSL 1.1.0 之後沒有此漏洞，而且本地的openssl 版本高於1.1.0

換個思路去找問題

經過下面連接瞭解nmap 掃描工具能夠知道漏洞的來源(複測)

• https://www.e-learn.cn/topic/3756431

nmap安裝方式請另行百度(案例的服務器是redhat,去官網下載的rpm包,rpm -ivh 包就安裝成功了)

經過下面的命令獲得結果
nmap -sV --script ssl-enum-ciphers -p 443 www.example.com (ip 也能夠)

發現3DES 加密是C級別的,而且有個warning 跟 CVE-2016-2183 的描述大概一致

3.解決問題

• http://www.javashuo.com/article/p-mmhhzsxn-ko.html

經過配置nginx 的設置 ssl_ciphers HIGH:!aNULL:!MD5:!3DES;
注: !3DES是後添加的過濾

以後nginx -t 檢查配置文件
nginx -s reload 重啓nginx

4.複測
nmap -sV --script ssl-enum-ciphers -p 443 www.example.com (ip 也能夠)

問題解決