解決Nessus掃描的20007 - SSL Version 2 and 3 Protocol Detection高危漏洞

【高危漏洞】

20007 - SSL Version 2 and 3 Protocol Detection##

Synopsis
The remote service encrypts traffic using a protocol with known weaknesses.

Description
The remote service accepts connections encrypted using SSL 2.0 and/or SSL 3.0. These versions of SSL are affected by several cryptographic flaws, including:

An insecure padding scheme with CBC ciphers.
Insecure session renegotiation and resumption schemes.

An attacker can exploit these flaws to conduct man-in-the-middle attacks or to decrypt communications between the affected service and clients.

Although SSL/TLS has a secure means for choosing the highest supported version of the protocol (so that these versions will be used only if the client or server support nothing better), many web browsers implement this in an unsafe way that allows an attacker to downgrade a connection (such as in POODLE). Therefore, it is recommended that these protocols be disabled entirely.

NIST has determined that SSL 3.0 is no longer acceptable for secure communications. As of the date of enforcement found in PCI DSS v3.1, any version of SSL will not meet the PCI SSC's definition of 'strong cryptography'.

Solution
Consult the application's documentation to disable SSL 2.0 and 3.0.
Use TLS 1.1 (with approved cipher suites) or higher instead.

Risk Factor
High

CVSS v3.0 Base Score
7.5 (CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N)

CVSS Base Score
7.1 (CVSS2#AV:N/AC:M/Au:N/C:C/I:N/A:N)

Plugin Information:
Published: 2005/10/12, Modified: 2019/03/27

Plugin Output
tcp/389

- SSLv3 is enabled and the server supports at least one cipher.
Explanation: TLS 1.0 and SSL 3.0 cipher suites may be used with SSLv3


Medium Strength Ciphers (> 64-bit and < 112-bit key, or 3DES)

DES-CBC3-SHA Kx=RSA Au=RSA Enc=3DES-CBC(168) Mac=SHA1 

High Strength Ciphers (>= 112-bit key)

AES128-SHA Kx=RSA Au=RSA Enc=AES-CBC(128) Mac=SHA1 
AES256-SHA Kx=RSA Au=RSA Enc=AES-CBC(256) Mac=SHA1 
RC4-MD5 Kx=RSA Au=RSA Enc=RC4(128) Mac=MD5 
RC4-SHA Kx=RSA Au=RSA Enc=RC4(128) Mac=SHA1 

The fields above are :

{OpenSSL ciphername}
Kx={key exchange}
Au={authentication}
Enc={symmetric encryption method}
Mac={message authentication code}
{export flag}

【漏洞解決】
在OpenLDAP Server的配置文件slapd.conf中增加非安全協(xié)議的過濾

# vim /etc/openldap/slapd.conf

TLSVerifyClient never
TLSCACertificatePath    /etc/openldap/certs
TLSCACertificateFile    /etc/openldap/certs/cacert.pem
TLSCertificateFile      /etc/openldap/certs/servercert.pem
TLSCertificateKeyFile   /etc/openldap/certs/serverkey.pem
TLSCipherSuite ALL:!TLSv1.1:TLSv1.2:!SSLv2:!SSLv3:!aNULL:!eNULL:!MD5:!MEDIUM:!LOW:!EXPORT:@STRENGTH

如下配置表示允許或不允許使用的協(xié)議莹菱，例如：!TLSv1.1表示不允許使用TLSv1.1关串，TLSv1.2表示允許使用靶擦。
那么這里的配置表示不允許使用TLSv1.1醉旦、SSLv2、SSLv3等協(xié)議恒界，允許使用TLSv1.2協(xié)議睦刃。

ALL:!TLSv1.1:TLSv1.2:!SSLv2:!SSLv3:!aNULL:!eNULL:!MD5:!MEDIUM:!LOW:!EXPORT:@STRENGTH

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個(gè)濱河市十酣，隨后出現(xiàn)的幾起案子涩拙，更是在濱河造成了極大的恐慌际长，老刑警劉巖，帶你破解...
沈念sama閱讀 217,907評(píng)論 6贊 506
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件兴泥，死亡現(xiàn)場(chǎng)離奇詭異工育，居然都是意外死亡，警方通過查閱死者的電腦和手機(jī)搓彻，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 92,987評(píng)論 3贊 395
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門如绸，熙熙樓的掌柜王于貴愁眉苦臉地迎上來，“玉大人旭贬，你說我怎么就攤上這事竭沫。” “怎么了骑篙？”我有些...
開封第一講書人閱讀 164,298評(píng)論 0贊 354
道士緝兇錄：失蹤的賣姜人
文/不壞的土叔我叫張陵，是天一觀的道長(zhǎng)森书。經(jīng)常有香客問我靶端，道長(zhǎng)，這世上最難降的妖魔是什么凛膏？我笑而不...
開封第一講書人閱讀 58,586評(píng)論 1贊 293
?港島之戀（遺憾婚禮）
正文為了忘掉前任杨名，我火速辦了婚禮，結(jié)果婚禮上猖毫，老公的妹妹穿的比我還像新娘台谍。我一直安慰自己，他們只是感情好吁断，可當(dāng)我...
茶點(diǎn)故事閱讀 67,633評(píng)論 6贊 392
惡毒庶女頂嫁案：這布局不是一般人想出來的
文/花漫我一把揭開白布趁蕊。她就那樣靜靜地躺著，像睡著了一般仔役。火紅的嫁衣襯著肌膚如雪掷伙。梳的紋絲不亂的頭發(fā)上，一...
開封第一講書人閱讀 51,488評(píng)論 1贊 302
城市分裂傳說
那天又兵，我揣著相機(jī)與錄音任柜，去河邊找鬼。笑死沛厨，一個(gè)胖子當(dāng)著我的面吹牛宙地，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播逆皮，決...
沈念sama閱讀 40,275評(píng)論 3贊 418
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開眼宅粥，長(zhǎng)吁一口氣：“原來是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來了电谣？” 一聲冷哼從身側(cè)響起粹胯，我...
開封第一講書人閱讀 39,176評(píng)論 0贊 276
萬榮殺人案實(shí)錄
序言：老撾萬榮一對(duì)情侶失蹤蓖柔，失蹤者是張志新（化名）和其女友劉穎，沒想到半個(gè)月后风纠，有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體况鸣，經(jīng)...
沈念sama閱讀 45,619評(píng)論 1贊 314
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 37,819評(píng)論 3贊 336
?白月光啟示錄
正文我和宋清朗相戀三年竹观，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了镐捧。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點(diǎn)故事閱讀 39,932評(píng)論 1贊 348
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡臭增，死狀恐怖懂酱，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情誊抛，我是刑警寧澤列牺，帶...
沈念sama閱讀 35,655評(píng)論 5贊 346
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站拗窃，受9級(jí)特大地震影響瞎领，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜随夸，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 41,265評(píng)論 3贊 329
男人毒藥：我在死后第九天來索命
文/蒙蒙一九默、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧宾毒，春花似錦驼修、人聲如沸。這莊子的主人今日做“春日...
開封第一講書人閱讀 31,871評(píng)論 0贊 22
一樁弒父案乙各，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)。三九已至幢竹，卻和暖如春觅丰，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背妨退。一陣腳步聲響...
開封第一講書人閱讀 32,994評(píng)論 1贊 269
情欲美人皮
我被黑心中介騙來泰國(guó)打工妇萄，沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留，地道東北人咬荷。一個(gè)月前我還...
沈念sama閱讀 48,095評(píng)論 3贊 370
代替公主和親
正文我出身青樓冠句，卻偏偏與公主長(zhǎng)得像，于是被迫代替她去往敵國(guó)和親幸乒。傳聞我的和親對(duì)象是個(gè)殘疾皇子懦底，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 44,884評(píng)論 2贊 354

解決Nessus掃描的20007 - SSL Version 2 and 3 Protocol Detection高危漏洞

20007 - SSL Version 2 and 3 Protocol Detection##

推薦閱讀更多精彩內(nèi)容