Warning: file_get_contents(/data/phpspider/zhask/data//catemap/9/ssl/3.json): failed to open stream: No such file or directory in /data/phpspider/zhask/libs/function.php on line 167

Warning: Invalid argument supplied for foreach() in /data/phpspider/zhask/libs/tag.function.php on line 1116

Notice: Undefined index: in /data/phpspider/zhask/libs/function.php on line 180

Warning: array_chunk() expects parameter 1 to be array, null given in /data/phpspider/zhask/libs/function.php on line 181
Linux Centos 5中的贵宾犬漏洞_Linux_Ssl_Openssl_Centos_Poodle Attack - Fatal编程技术网
Fatal编程技术网
  • linux/
  • Linux Centos 5中的贵宾犬漏洞

Linux Centos 5中的贵宾犬漏洞

linux ssl openssl centos

Linux Centos 5中的贵宾犬漏洞,linux,ssl,openssl,centos,poodle-attack,Linux,Ssl,Openssl,Centos,Poodle Attack,我使用openssl-0.9.8e-22.el5_11运行centos 5.7,它受到贵宾犬漏洞的影响。因此,为了解决这个问题,我将我的openssl版本升级为openssl-0.9.8e-31.el5_11 我已经通过使用changelog确认了上述版本中的poodle漏洞修复程序 [root]# rpm -qa --changelog openssl | grep CVE - add support for fallback SCSV to partially mitigate CVE-20

我使用openssl-0.9.8e-22.el5_11运行centos 5.7,它受到贵宾犬漏洞的影响。因此,为了解决这个问题,我将我的openssl版本升级为openssl-0.9.8e-31.el5_11

我已经通过使用changelog确认了上述版本中的poodle漏洞修复程序

[root]# rpm -qa --changelog openssl | grep CVE
- add support for fallback SCSV to partially mitigate CVE-2014-3566
- fix CVE-2014-0221 - recursion in DTLS code leading to DoS
- fix CVE-2014-3505 - doublefree in DTLS packet processing
- fix CVE-2014-3506 - avoid memory exhaustion in DTLS
- fix CVE-2014-3508 - fix OID handling to avoid information leak
但是,根据下面的测试,我的系统仍然使用SSLv3

[root]# nmap --script ssl-enum-ciphers -p 443 10.197.65.190

Starting Nmap 5.51
Nmap scan report for 10.197.65.190
Host is up (0.00071s latency).
PORT STATE SERVICE
443/tcp open
| ssl-enum-ciphers:
| SSLv3
| Ciphers (
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_RSA_WITH_AES_128_CBC_SHA
| TLS_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_RC4_128_MD5
| TLS_RSA_WITH_RC4_128_SHA
| Compressors (1)
| uncompressed
| TLSv1.0
| Ciphers (
| TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_3DES_EDE_CBC_SHA
| TLS_RSA_WITH_AES_128_CBC_SHA
| TLS_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_RC4_128_MD5
| TLS_RSA_WITH_RC4_128_SHA
| Compressors (1)
|_ uncompressed
Nmap完成:1.28秒内扫描1个IP地址(1个主机启动)

我在这里有点困惑。openssl-0.9.8e-31.el5_11中是否真的修复了狮子狗漏洞

在这方面的任何帮助都是非常值得赞赏的

openssl的升级不会修复POODLE,因为POODLE是SSL 3.0中的一个设计缺陷,而不是openssl中的一个bug。升级所做的只是添加一个选项,该选项可能被服务器用来检测客户端的协议降级尝试

真正的解决办法是在所有使用OpenSSL库的应用程序中禁用SSL 3.0。

谢谢您的回答。但在互联网上,我发现openssl 0.9.8zc包含了这个问题的修复程序。这是真的吗?或者,即使是0.9.8zc也只能阻止MITM从clientAgain进行降级尝试,因为这是一个设计问题,即SSL 3.0是不可修复的。回退SCSV选项仅在客户端和服务器支持此选项的情况下有助于检测降级攻击。有关更多详细信息,请参阅。根据上面的链接,openssl是使用no-sslv3选项构建的,用于从服务器禁用sslv3支持。请您也澄清一下。很抱歉一直问相同的问题。此链接仅说明OpenSSL没有正确实施-no-ssl3构建选项。这是一个在构建OpenSSL时可以使用但不需要使用的选项。默认情况下,使用SSL3.0支持进行构建。此链接没有说明您使用的OpenSSL rpm是如何构建的,您引用的更改描述也没有说明禁用对SSL 3.0的支持。由于POODLE只影响CBC密码套件,因此可以在不禁用SSLv3的情况下缓解POODLE。您可以使用RC4密码保存SSLv3,但它也有其弱点……”“非常感谢您在这方面的任何帮助”-问题到底是什么?Stack Overflow是一个编程和开发问答网站。我不知道这里的编程问题是什么。Stack Overflow是一个关于编程和开发问题的网站。这个问题似乎离题了,因为它与编程或开发无关。请参见帮助中心中的。也许或者会是一个更好的提问的地方。