In Seguridad y Gestión de pruebas Última actualizaciónated:
Comparte en:
Software de Jira es la herramienta de gestión de proyectos número uno utilizada por equipos ágiles para planificar, rastrear, lanzar y respaldar software excelente.

Una guía para corregir la vulnerabilidad de Logjam en el servidor web Apache HTTP y Nginx

Introducción

El 20 de mayo de 2015, el equipo de científicos informáticos de CNRS, Inria Nancy-Grand Est, Inria Paris-Rocquencourt, Microsoft Research, la Universidad Johns Hopkins, la Universidad de Michigan y la Universidad de Pensilvania encontraron la vulnerabilidad Logjam en bibliotecas TLS (cifrado EXPORT). : David Adrián, Karthikeyan Bhargavan, Zakir durumérico,Pierrick GaudryMatthew GreenJ.Alex HaldermanNadia HeningerDibujó Springalllucas valentaBenjamin VanderSloot,Eric WustrowSantiago Zanella-BeguelinPablo Zimmermann.

La vulnerabilidad Logjam ayuda al atacante (man-in-the-middle) a degradar las conexiones TLS a 512-bit criptografía de calidad de exportación. Esto ayuda a un atacante a leer y modificar cualquier dato transmitido a través de la conexión de red.

Verá, esto es peligroso ya que un atacante puede leer la tarjeta de crédito o información confidencial si su aplicación es vulnerable a Logjam. Esto me recuerda a Ataque FREAK.

La vulnerabilidad Logjam puede estar en cualquier protocolo como HTTPS, SSH, IPSec, SMTP que leveredad en TLS.

A partir de 24th Mayo, hay 8.4% del millón de dominios principales se ven afectados por la vulnerabilidad Logjam.

logjam-estadísticas

Probar si el cliente es vulnerable

La forma más fácil de probar sería acceder a este Página de prueba del cliente de laboratorio SSL en la browser.

logjam-cliente-prueba

Alternativamente, también puedes probar esto una.

Pruebe si el servidor es vulnerable

Hay varias herramientas que puede utilizar para realizar pruebas.

Escáner TLS - un escáner en línea impulsado por Testssl.sh verifica el sitio dado en busca de errores de configuración y vulnerabilidad de TLS, incluido Logjam.

KeyCDN - otra herramienta para probar si el sitio es vulnerable a Logjam.

Reparar la vulnerabilidad del ataque Logjam

puedes hacerlosable EXPORTAR trajes de cifrado en la configuración respectiva del servidor web para mitigarate esta vulnerabilidad.

Apache HTTP Server

Disable exporte el cifrado agregando lo siguiente en el archivo de configuración SSL.

SSLCipherSuite !EXPORT

Reinicie Apache y eso es todo.

Nginx

Agregue lo siguiente en el archivo nginx.conf

ssl_ciphers '!EXPORT'; 
#Note: - If you already have ssl_ciphers configured, you just need to add !EXPORT in existing line instead of adding new one.

También puede referir Haga clic aquí para entrar. para solucionar este problema en Sendmail, Tomcat, IIS, HAProxy, Lighthttpd, etc.

¿Qué es lo siguiente?

Si está buscando protección de seguridad continua para su negocio en línea, puede considerar usar WAF basado en la nube.

Comparte en:
  • chandan kumar
    Autor
    Chandan Kumar es un entusiasta experimentado de la tecnología y un apasionado emprendedor.ate Sobre Nosotros empowering empresas y personas a nivel mundialally. Como fundador de Geekflare, una publicación tecnológica líder, Chandan ha encabezado el desarrollo...

Gracias a nuestros patrocinadores

Más lecturas interesantes sobre seguridad

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Intente Murf AI
  • Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder