如何测试Logjam攻击（CVE-2015-4000）并修复？

修复Apache HTTP和Nginx Web服务器中的Logjam漏洞指南

介绍

Logjam漏洞是由CNRS、Inria Nancy-Grand Est、Inria Paris-Rocquencourt、Microsoft Research、约翰霍普金斯大学、密西根大学和宾夕法尼亚大学的计算机科学家团队于2015年5月20日发现的，在TLS库（EXPORT加密算法）中发现了这个漏洞：David Adrian， Karthikeyan Bhargavan，Zakir Durumeric，Pierrick Gaudry， Matthew Green， J. Alex Halderman， Nadia Heninger， Drew Springall， Luke Valenta， Benjamin VanderSloot，Eric Wustrow， Santiago Zanella-Beguelin，和 Paul Zimmermann。

Logjam漏洞使攻击者（中间人）能够降级TLS连接到512位出口级密码。这使得攻击者可以读取和修改通过网络连接传输的任何数据。

你看，如果你的应用程序容易受到Logjam漏洞的攻击，那么这是危险的，因为攻击者可以读取信用卡或敏感信息。这让我想起了 FREAK attack。

Logjam漏洞可能存在于任何使用TLS的协议，例如HTTPS、SSH、IPSec和SMTP。

截至5月24日，受Logjam漏洞影响的前100万个域中有8.4%。

测试客户端是否容易受攻击

最简单的方法是在浏览器中访问此 SSL lab client test page 来进行测试。

另外，您也可以尝试这个 one。

测试服务器是否容易受攻击

有多种工具可以用于测试。

TLS Scanner – 一个由Testssl.sh提供支持的在线扫描器，可以检查给定站点的TLS配置和漏洞，包括Logjam漏洞。

KeyCDN – 另一个测试站点是否容易受到Logjam漏洞攻击的工具。

修复Logjam漏洞攻击

您可以在各自的Web服务器配置中禁用EXPORT加密套件以减轻此漏洞。

Apache HTTP服务器

通过在SSL配置文件中添加以下内容来禁用出口加密套件。

SSLCipherSuite !EXPORT

重新启动Apache，就这样。

Nginx

在nginx.conf文件中添加以下内容

ssl_ciphers '!EXPORT'; 
#注意：如果您已经配置了ssl_ciphers，则只需在现有行中添加!EXPORT，而不是添加新行。

您还可以参考 here 以修复Sendmail、Tomcat、IIS、HAProxy、Lighthttpd等的该漏洞。

接下来是什么？

如果您正在寻找持续的在线业务安全保护，可以考虑使用 cloud-based WAF。