CVE-2013-2566 SSL/TLS RC4 信息泄露漏洞 修复方案

详细描述

安全套接层（Secure Sockets Layer，SSL），一种安全协议，是网景公司（Netscape）在推出Web浏览器首版的同时提出的，目的是为网络通信提供安全及数据完整性。SSL在传输层对网络连接进行加密。传输层安全（Transport Layer Security），IETF对SSL协议标准化（RFC 2246）后的产物，与SSL 3.0差异很小。 SSL/TLS内使用的RC4算法存在单字节偏差安全漏洞，可允许远程攻击者通过分析统计使用的大量相同的明文会话，利用此漏洞恢复纯文本信息。

解决办法

建议：避免使用RC4算法

1、禁止apache服务器使用RC4加密算法

vi /etc/httpd/conf.d/ssl.conf

修改为如下配置

SSLCipherSuite HIGH:MEDIUM:!aNULL:!MD5:!RC4

重启apache服务

2、关于lighttpd加密算法

在配置文件lighttpd.conf中禁用RC4算法，例如：

ssl.cipher-list = "EECDH+AESGCM:EDH+AESGCM:ECDHE-RSA-AES128-GCM-SHA256:AES256+EECDH:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4"

重启lighttpd 服务。

3、Windows系统建议参考官网链接修复：

https://support.microsoft.com/en-us/help/2868725/microsoft-security-advisory-update-for-disabling-rc4

如何完全禁用 RC4：

笔记

• 在进行以下注册表更改以完全禁用 RC4 之前，您必须安装此安全更新 (2868725)。

• 此安全更新适用于本文中列出的 Windows 版本。但是，此注册表设置也可用于在较新版本的 Windows 中禁用 RC4。（比如windows 2012R2不需要下载补丁，可以直接在注册表禁用RC4）

无论对方支持的密码如何，都不想使用 RC4 的客户端和服务器可以通过设置以下注册表项来完全禁用 RC4 密码套件。以这种方式，任何与必须使用 RC4 的客户端或服务器通信的服务器或客户端都可以阻止连接发生。部署此设置的客户端将无法连接到需要 RC4 的站点，部署此设置的服务器将无法为必须使用 RC4 的客户端提供服务。

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 128/128]
  "Enabled"=dword:00000000

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 40/128]
  "Enabled"=dword:00000000

• [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Ciphers\RC4 56/128]
  "Enabled"=dword:00000000

============================================================================

打开注册表：win+R 键入 regedit

找到上面更改的相应位置

如果Ciphers目录下没有RC4 128/128、RC4 40/128、RC4 56/128

我们可以新建

Please create below RC4 folders in the registry path shown below. Set Enabled = 0.

============================================================================

其他应用程序如何阻止使用基于 RC4 的密码套件

默认情况下，所有应用程序都不会关闭 RC4。直接调用 SChannel 的应用程序将继续使用 RC4，除非它们选择加入安全选项。使用 SChannel 的应用程序可以通过将 SCH_USE_STRONG_CRYPTO 标志传递给 SCHANNEL_CRED 结构中的 SChannel 来阻止 RC4 密码套件进行连接。如果必须保持兼容性，使用 SChannel 的应用程序也可以实现不传递此标志的回退。

参考链接

https://support.microsoft.com/en-us/topic/microsoft-security-advisory-update-for-disabling-rc4-479fd6f0-c7b5-0671-975b-c45c3f2c0540

https://social.technet.microsoft.com/Forums/en-US/faad7dd2-19d5-4ba0-bd3a-fc724d234d7b/how-to-diable-rc4-is-windows-2012-r2?forum=winservergen

https://docs.microsoft.com/zh-CN/troubleshoot/windows-server/windows-security/restrict-cryptographic-algorithms-protocols-schannel