[Plesk] Уязвимость CVE-2015-4000 LOGJAM TLS DH

Создана:

2016-11-16 13:03:45 UTC

Изменена:

2017-08-16 16:27:11 UTC

6

Помогла ли вам статья?


Есть вопросы?

Отправить запрос

[Plesk] Уязвимость CVE-2015-4000 LOGJAM TLS DH

Applicable to:

  • Plesk 10.x for Linux
  • Plesk 12.5 for Linux
  • Plesk 11.x for Linux
  • Plesk 11.x for Windows
  • Plesk 12.0 for Windows
  • Plesk 12.0 for Linux

Симптомы

Уязвимость CVE-2015-4000 в реализации протокола TLS, так называемая 'Logjam'. Logjam представляет собой новую атаку на протокол обмена ключами Диффи-Хеллмана, используемый в TLS.

По сути,

"атака Logjam позволяет злоумышленнику, перехватившему канал связи, перевести уязвимые соединения TLS в 512-битную экcпортируемую криптографию. Это позволяет злоумышленнику читать и изменять любые данные, передаваемые посредством этого соединения. Эта атака напоминает атаку FREAK, но она вызывается брешью протокола TLS, а не уязвимостью реализации, и атакует обмен ключами Диффи-Хеллмана, а не обмен ключами RSA. Атаке может быть подвержен любой сервер, поддерживающий шифры DHE_EXPORT, и все современные веб-браузеры. 8.4% из 1 миллиона самых популярных доменов были изначально уязвимы."

Описание этой уязвимости также доступно в дополнительном документе .

Решение

Linux:

Производители ОС опубликовали следующие советы по безопасности, связанные с этой уязвимостью:

Debian

RedHat/CentOS

Ubuntu

Мы подготовили исправление в соответствии с рекомендациями Руководства по использованию протокола Диффи-Хеллмана для TLS

Примените скрипт сначала в тестовой среде. Обратитесь в службу технической поддержки Plesk в случае возникновения затруднений.

Скрипт исправит проблему должным образом, если у вас установлена версия OpenSSL 1.0.1 или выше, потому что на более ранних версиях нет поддержки TLS v1.1 и TLS v1.2.

Использование:

~# wget https://support.plesk.com/hc/article_attachments/115004355285/SSLfix.zip
~# unzip SSLfix.zip
~# chmod +x SSLfix.sh

./SSLfix.sh [v3|dh] [service name like apache, nginx]

Без аргументов он исправит настройки всех служб для SSLv3 (атака Poodle) и уязвимость DH (атака Logjam)

Примечание. Кроме того, скрипт защищает от уязвимости CVE-2014-3566: POODLE

Windows

  1. Откройте редактор объектов групповой политики Group Policy Object Editor (т.е. введите gpedit.msc в командной строке).
  2. Откройте Computer Configuration (Конфигурация компьютера) > Administrative Templates (Административные шаблоны) > Network (Сеть) > SSL Configuration Settings (Параметры настройки SSL).
  3. На странице SSL Configuration Settings (Параметры настройки SSL) , откройте настройку SSL Cipher Suite Order (Порядок комплектов шифров SSL) .
  4. Укажите в порядке самые стойкие комплекты шифров. Смотрите список поддерживаемых Microsoft шифров и инструкции по настройке TLS от Mozilla.

Вложения:

Была ли эта статья полезной?
Пользователи, считающие этот материал полезным: 6 из 11
Еще есть вопросы? Отправить запрос
Войдите в службу, чтобы оставить комментарий.