[在使用PCI和nginx扫描我们的ubuntu16 Web服务器时,已针对针对64位块大小漏洞(Sweet32)的TLS密码进行了生日攻击攻击。
威胁:当在CBC模式下使用时,具有64位块大小的旧版块密码易受实际冲突攻击。所有版本的SSL / TLS协议都支持使用DES,3DES,IDEA或RC2作为对称加密密码的密码套件。
下面是扫描中提到的详细信息。有人能够在Ubuntu16中对同一应用程序进行修复吗?
IMPACT:
Remote attackers can obtain cleartext data via a birthday attack against a long-duration encrypted session.
SOLUTION:
Disable and stop using DES, 3DES, IDEA or RC2 ciphers.
More information can be found at Microsoft Windows TLS changes docs and Microsoft Transport Layer Security (TLS) registry settings
RESULT:
CIPHER
KEY-EXCHANGE AUTHENTICATION MAC ENCRYPTION(KEY-STRENGTH) GRADE
TLSv1.2 WITH 64-BIT CBC CIPHERS IS
SUPPORTED
DES-CBC3-SHA RSA RSA SHA1 3DES(168) MEDIUM
EDH-RSA-DES-CBC3-SHA DH RSA SHA1 3DES(168) MEDIUM
ECDHE-RSA-DES-CBC3-SHA ECDH RSA SHA1 3DES(168) MEDIUM
您需要排除这些内容,或者仅在这样的旧系统上使用仅AES:
SSLCipherSuite "AES:!aNULL:!eNULL:!EXP"