Redhat Jboss 服务器(sweet 32)生日攻击中的漏洞
Vulnerability in Redhat Jboss Server (sweet 32) birthday attack
我有一个关于 Sweet32 攻击的问题,它说要使用高度安全的密码配置安全性。但是当我查看浏览器时,它显示 "The connection to this site is encrypted and authenticated using TLS 1.2 (a strong protocol), ECDHE_RSA with P-256 (a strong key exchange), and AES_128_GCM (a strong cipher)." 我不确定为什么这仍然会引发 CVE-2016-2183 缺陷。在端口 8443 中有一个 jbpm dash-builder is up 运行.
浏览器显示它使用的协议。这可能不是 web/app 服务器支持的唯一协议。
您使用的是什么网络服务器?您在那里使用什么库进行 SSL/TLS 连接?通常,它们中的大多数都使用 OpenSSL。我认为您已经拥有最新的(或接近它的东西),因为浏览器可以连接到它。
您使用的 Java 是什么版本?您的应用程序服务器使用的 JRE 应该禁用较弱的算法。
大多数 JRE 允许您通过编辑 java.security 文件来禁用较弱的算法:
jdk.tls.disabledAlgorithms=SSLv3,DESede,DES
与此同时,请确保您的网络服务器仅支持最新的密码。
我有一个关于 Sweet32 攻击的问题,它说要使用高度安全的密码配置安全性。但是当我查看浏览器时,它显示 "The connection to this site is encrypted and authenticated using TLS 1.2 (a strong protocol), ECDHE_RSA with P-256 (a strong key exchange), and AES_128_GCM (a strong cipher)." 我不确定为什么这仍然会引发 CVE-2016-2183 缺陷。在端口 8443 中有一个 jbpm dash-builder is up 运行.
浏览器显示它使用的协议。这可能不是 web/app 服务器支持的唯一协议。
您使用的是什么网络服务器?您在那里使用什么库进行 SSL/TLS 连接?通常,它们中的大多数都使用 OpenSSL。我认为您已经拥有最新的(或接近它的东西),因为浏览器可以连接到它。
您使用的 Java 是什么版本?您的应用程序服务器使用的 JRE 应该禁用较弱的算法。
大多数 JRE 允许您通过编辑 java.security 文件来禁用较弱的算法:
jdk.tls.disabledAlgorithms=SSLv3,DESede,DES
与此同时,请确保您的网络服务器仅支持最新的密码。