Nginx - SSL/TLS协议信息泄露漏洞(CVE-2016-2183)【原理扫描】修复

于 2025-06-20 18:27:39 发布
阅读量769 收藏 4
点赞数 4
CC 4.0 BY-SA版权
文章标签: nginx ssl 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_55968769/article/details/148797549

问题描述

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
TLS 是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。
TLS, SSH, IPSec 协商及其他产品中使用的 DES 及 Triple DES 密码存在大约四十亿块的生日界,这可使远程攻击者通过 Sweet32 攻击,获取纯文本数据。
CVE 官网链接:https://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=CVE-2016-2183
CVE 详情参考链接:https://www.cvedetails.com/cve-details.php?t=1&cve_id=CVE-2016-2183

解决方案

OpenSSL 是 OpenSSL 团队的一个开源的能够实现安全套接层(SSLv2/v3)和安全传输层(TLSv1)协议的通用加密库。该产品支持多种加密算法,包括对称密码、哈希算法、安全散列算法等。
OpenSSL 的 TLS、SSH 和 IPSec 协议和其它协议及产品中使用的 DES 和 Triple DES 密码算法存在信息泄露漏洞。该漏洞源于网络系统或产品在运行过程中存在配置等错误。未授权的攻击者可利用漏洞获取受影响组件敏感信息。
我们可以通过 nmap 命令来扫描允许使用了那些不安全的加密算法,如下:

nmap -sV --script ssl-enum-ciphers -p 443 www.example.com

这里的域名换成 IP 可以,得到的结果如下:

[root@clear conf]# nmap -sV --script ssl-enum-ciphers -p 443 www.qzwmsj.com
Starting Nmap 7.92 ( https://nmap.org ) at 2025-06-04 13:55 CST
Nmap scan report for www.test.com (x.x.x.x)
Host is up (0.041s latency).

PORT    STATE SERVICE  VERSION
443/tcp open  ssl/http nginx 1.27.5
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|   TLSv1.1: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|     warnings: 
|       64-bit block cipher 3DES vulnerable to SWEET32 attack
|_  least strength: C
|_http-server-header: nginx/1.27.5

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 18.21 seconds

发现 3DES 加密是 C 级别的,并且有个 warning 跟 CVE-2016-2183 的描述大概一致
我们可以修改 nginx 的配置文件,设置 ssl_ciphers 过滤 3DES,如下:
在这里插入图片描述
修改完成后重启 nginx,在次使用 nmap 进行扫描:

[root@clear conf]# nmap -sV --script ssl-enum-ciphers -p 443 www.qzwmsj.com
Starting Nmap 7.92 ( https://nmap.org ) at 2025-06-04 14:00 CST
Nmap scan report for www.test.com (x.x.x.x)
Host is up (0.039s latency).

PORT    STATE SERVICE  VERSION
443/tcp open  ssl/http nginx 1.27.5
|_http-server-header: nginx/1.27.5
| ssl-enum-ciphers: 
|   TLSv1.0: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|   TLSv1.1: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|   TLSv1.2: 
|     ciphers: 
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_RSA_WITH_AES_256_GCM_SHA384 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_GCM_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA256 (rsa 2048) - A
|       TLS_RSA_WITH_AES_128_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_256_CBC_SHA (rsa 2048) - A
|       TLS_RSA_WITH_CAMELLIA_128_CBC_SHA (rsa 2048) - A
|     compressors: 
|       NULL
|     cipher preference: server
|_  least strength: A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.99 seconds

3DES 加密算法已经被禁用,问题解决

晴天和风
关注
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)修复
weixin_45251630的博客
09-02 3145
TLS, SSH, IPSec协商及其他产品中使用的IDEA、DES及Triple DES密码或者3DES及Triple 3DES存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。安装nmap:nmap的下载地址https://nmap.org/download#linux-rpm,TLS是安全传输层协议,用于在两个通信应用程序之间提供保密性和数据完整性。如果服务器有防火墙,直接在服务器安装完nmap以后,直接执行。如果没有防火墙可以指直接用笔记本电脑的namp测试。
k8s安全测评漏洞SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
Yang_RR的博客
05-09 2027
k8s组件使用了IDEA、DES和3DES等算法,修改配置文件禁用上述算法即可。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描】处理
热门推荐
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 26万+
概述 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。 风险级别:低 该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op
Nginx服务器SSL的安全配置及CVE-2016-2183漏洞处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
03-05 9588
概要 OpenSSL 是一个强大的安全套接字层密码库,囊括主要的密码算法、常用的密钥和证书封装管理功能及SSL协议,并提供丰富的应用程序供测试或其它目的使用。 本文主要阐述如何在nginx的web服务器上设置更强的SSL。不使用在SSL/TLS协议中易受攻击的SSLv3以及以下版本并且设置一个更强的密码套件,同时启用HSTS和HPKP,为在可能的情况下能够实现Forward Secrecy。 配置文件及对应安全选项说明 1)配置文件位置,默认ssl端口采用443,实际中可按需修改: Ubuntu/Debia
SSL/TLS协议信息泄露漏洞修复
童龙辉的博客
08-22 6404
概述:CVE-2016-2183 是一个涉及 SSL/TLS 协议信息泄露漏洞,也被称为 "SWEET32" 攻击。该漏洞利用了某些对称加密算法(如 3DES)的弱点,攻击者可以通过捕获和分析大量的加密流量,可能会恢复明文数据。
linux 上SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描
冰恋云的专栏
05-21 9208
2.2 漏洞详情解决方案:上面已经提到了,服务器是linux系统。
SSL/TLS 协议信息泄露漏洞(CVE-2016-2183)原理扫描
qq_45373631的博客
05-09 1万+
SSL/TLS协议 RC4信息泄露漏洞扫描出来,一般出现的问题在ssh和https服务上使用了DES、3DES算法,禁用这些算法就好了。2.重启nginx服务 systemctl restart nginx.service。其它中间件原理是一样的,找到中间件的配置文件 禁用!1.禁止apache服务器使用RC4加密算法。1.禁止apache服务器使用RC4加密算法。1.ssh禁用DES、3DES算法。重启lighttpd 服务。2.重启apache服务。2.重启sshd服务。然后就不会扫描出来了。
SSl TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描漏洞修复
weixin_55358075的博客
03-26 2382
1、找到控制面板,控制面板->网络和 Internet->Internet选项。5、点击SSL密码套件顺序,点击编辑,点击已启用,SSL密码套件内容要编辑。3,接着win+r键打开运行,输入gpedit.msc ,点击确定。4、进入本地组策略编辑器,找到SSL密码套件顺序。2、只选择TLS1.2,点击应用和确定。6、输入以下内容,并确定。
在windows上安装Openssl环境( SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描】 【可验证】漏洞)
冰恋云的专栏
07-31 1164
在任务栏开始菜单图标上右键【系统】-【高级系统设置】-【环境变量】-【系统变量】中Path变量后双击编辑。设置好后,在终端或者命令行中输入openssl version,验证是否安装成功,成功会显示版本号。将 C:\Program Files\OpenSSL-Win64\bin。首先在链接下载openssl安装版。安装完后,首先要先设置下环境变量。然后就是按向导步骤安装。安装需要添加环境变量。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
认知 行动 坚持
01-08 933
如果Web服务中的SSL协议出现安全问题,攻击者就可以拥有你所有的安全信息。Nginx使用ssl模块配置HTTPS支持,就会遇到这个问题。编辑配置文件nginx.conf,把这句加在 server 配置节里就可以了,在浏览器使用不安全的算法时,会自动禁止连接。重新加载nginx配置文件,就可以生效了。之后nginx -t 检查配置文件。
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描漏洞修复
cp的博客
08-23 4706
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)原理扫描漏洞修复
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)/SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)/SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-20
weixin_47277340的博客
02-04 9384
本人这几个漏洞都指向ssl,服务器为win2012 r2 standard 一、漏洞说明 Windows server 2012R2远程桌面服务SSL加密默认是开启的,且有默认的CA证书。由于SSL/ TLS自身存在漏洞缺陷,当开启远程桌面服务,使用漏洞扫描工具扫描,发现存在SSL/TSL漏洞。远程主机支持的SSL加密算法提供了中等强度的加密算法,目前,使用密钥长度大于等于56bits并且小于112bits的算法都被认为是中等强度的加密算法。以下为漏洞截图: 按照漏扫工具给出的修复建议为:避免使用DES算
CVE-2016-2183 修复过程,亲测有效
weixin_43709937的博客
08-24 2003
nmap安装方式请另行百度(案例的服务器是redhat,去官网下载的rpm包,rpm -ivh 包就安装成功了)发现3DES 加密是C级别的,并且有个warning 跟 CVE-2016-2183 的描述大概一致。通过配置nginx 的设置 ssl_ciphers HIGH:!通过下面链接了解nmap 扫描工具可以知道漏洞的来源(复测)nginx -s reload 重启nginx。之后nginx -t 检查配置文件。3DES是后添加的过滤。通过下面的命令得到结果。
漏洞名称:SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
最新发布
2401_89498534的博客
06-19 211
本地计算机—Windows设置—管理模板—网络—SSL配置设置-点击启用—SSL密码套件顺序处更改新的加密套件。配置更新以后,重启服务器。
OpenSSL 信息泄露漏洞CVE-2016-2183)&& 目标主机使用了不受支持的SSL加密算法
qq_44929154的博客
07-29 3046
编辑Nginx配置文件:使用文本编辑器打开Nginx的配置文件(通常是/etc/nginx/nginx.conf或/etc/nginx/conf.d/目录下的某个文件)。修改ssl_ciphers指令:在server块中找到ssl_ciphers指令,并移除包含“3DES”的密码套件。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值