Una guía para corregir la vulnerabilidad de Logjam en el servidor web Apache HTTP y Nginx
Introduction
El 20 de mayo de 2015, el equipo de científicos informáticos de CNRS, Inria Nancy-Grand Est, Inria Paris-Rocquencourt, Microsoft Research, la Universidad Johns Hopkins, la Universidad de Michigan y la Universidad de Pensilvania encontraron la vulnerabilidad Logjam en bibliotecas TLS (cifrado EXPORT). : David Adrián, Karthikeyan Bhargavan, Zakir durumérico,Pierrick Gaudry, Matthew Green, J. Alex Halderman, Nadia Heninger, Dibujó Springall, lucas valenta, benjamin vander sloot,Eric Wustrow, Santiago Zanella-Beguelin y Pablo Zimmermann.
La vulnerabilidad Logjam ayuda al atacante (man-in-the-middle) a degradar las conexiones TLS a criptografía de grado de exportación de 512 bits. Esto ayuda a un atacante a leer y modificar cualquier dato transmitido a través de la conexión de red.
Verá, esto es peligroso ya que un atacante puede leer la tarjeta de crédito o información confidencial si su aplicación es vulnerable a Logjam. Esto me recuerda a Ataque FREAK.
La vulnerabilidad de bloqueo puede estar en cualquier protocolo como HTTPS, SSH, IPSec, SMTP ese apalancamiento en TLS.
A partir de 24th Mayo, hay 8.4% del millón de dominios principales se ven afectados por la vulnerabilidad Logjam.
Test if the client is Vulnerable
La forma más fácil de probar sería acceder a este Página de prueba del cliente de laboratorio SSL en el navegador.
Alternativamente, también puedes probar esto ..
Test if the server is Vulnerable
Hay varias herramientas que puede utilizar para realizar pruebas.
Escáner TLS - un escáner en línea impulsado por Testssl.sh verifica el sitio dado en busca de errores de configuración y vulnerabilidad de TLS, incluido Logjam.
KeyCDN - otra herramienta para probar si el sitio es vulnerable a Logjam.
Fix Logjam Attack Vulnerability
Puede deshabilitar EXPORTAR trajes de cifrado en la configuración del servidor web respectivo para mitigar esta vulnerabilidad.
SlimCleaner
Deshabilite el cifrado de exportación agregando lo siguiente en el archivo de configuración SSL.
SSLCipherSuite !EXPORTReinicie Apache y eso es todo.
Nginx
Agregue lo siguiente en el archivo nginx.conf
ssl_ciphers '!EXPORT';
#Note: - If you already have ssl_ciphers configured, you just need to add !EXPORT in existing line instead of adding new one.También puede referir aquí para solucionar este problema en Sendmail, Tomcat, IIS, HAProxy, Lighthttpd, etc.
¿Qué es lo siguiente?
Si está buscando protección de seguridad continua para su negocio en línea, puede considerar usar WAF basado en la nube.
