如何测试Logjam攻击(CVE-2015-4000)并修复?
修复Apache HTTP和Nginx Web服务器中的Logjam漏洞指南
介绍
Logjam漏洞是由CNRS、Inria Nancy-Grand Est、Inria Paris-Rocquencourt、Microsoft Research、约翰霍普金斯大学、密西根大学和宾夕法尼亚大学的计算机科学家团队于2015年5月20日发现的,在TLS库(EXPORT加密算法)中发现了这个漏洞:David Adrian, Karthikeyan Bhargavan,Zakir Durumeric,Pierrick Gaudry, Matthew Green, J. Alex Halderman, Nadia Heninger, Drew Springall, Luke Valenta, Benjamin VanderSloot,Eric Wustrow, Santiago Zanella-Beguelin,和 Paul Zimmermann。
Logjam漏洞使攻击者(中间人)能够降级TLS连接到512位出口级密码。这使得攻击者可以读取和修改通过网络连接传输的任何数据。
你看,如果你的应用程序容易受到Logjam漏洞的攻击,那么这是危险的,因为攻击者可以读取信用卡或敏感信息。这让我想起了 FREAK attack。
Logjam漏洞可能存在于任何使用TLS的协议,例如HTTPS、SSH、IPSec和SMTP。
截至5月24日,受Logjam漏洞影响的前100万个域中有8.4%。
测试客户端是否容易受攻击
最简单的方法是在浏览器中访问此 SSL lab client test page 来进行测试。
另外,您也可以尝试这个 one。
测试服务器是否容易受攻击
有多种工具可以用于测试。
TLS Scanner – 一个由Testssl.sh提供支持的在线扫描器,可以检查给定站点的TLS配置和漏洞,包括Logjam漏洞。
KeyCDN – 另一个测试站点是否容易受到Logjam漏洞攻击的工具。
修复Logjam漏洞攻击
您可以在各自的Web服务器配置中禁用EXPORT加密套件以减轻此漏洞。
Apache HTTP服务器
通过在SSL配置文件中添加以下内容来禁用出口加密套件。
SSLCipherSuite !EXPORT
重新启动Apache,就这样。
Nginx
在nginx.conf文件中添加以下内容
ssl_ciphers '!EXPORT';
#注意:如果您已经配置了ssl_ciphers,则只需在现有行中添加!EXPORT,而不是添加新行。
您还可以参考 here 以修复Sendmail、Tomcat、IIS、HAProxy、Lighthttpd等的该漏洞。
接下来是什么?
如果您正在寻找持续的在线业务安全保护,可以考虑使用 cloud-based WAF。