¿Cómo probar Logjam Attack (CVE-2015-4000) y solucionarlo?
Una guía para corregir la vulnerabilidad de Logjam en el servidor web Apache HTTP y Nginx
Introducción
El 20 de mayo de 2015, el equipo de científicos informáticos de CNRS, Inria Nancy-Grand Est, Inria Paris-Rocquencourt, Microsoft Research, la Universidad Johns Hopkins, la Universidad de Michigan y la Universidad de Pensilvania encontraron la vulnerabilidad Logjam en bibliotecas TLS (cifrado EXPORT). : David Adrián, Karthikeyan Bhargavan, Zakir durumérico,Pierrick Gaudry, Matthew Green, J.Alex Halderman, Nadia Heninger, Dibujó Springall, lucas valenta, Benjamin VanderSloot,Eric Wustrow, Santiago Zanella-Beguelin y Pablo Zimmermann.
La vulnerabilidad Logjam ayuda al atacante (man-in-the-middle) a degradar las conexiones TLS a 512-bit criptografía de calidad de exportación. Esto ayuda a un atacante a leer y modificar cualquier dato transmitido a través de la conexión de red.
Verá, esto es peligroso ya que un atacante puede leer la tarjeta de crédito o información confidencial si su aplicación es vulnerable a Logjam. Esto me recuerda a Ataque FREAK.
La vulnerabilidad Logjam puede estar en cualquier protocolo como HTTPS, SSH, IPSec, SMTP que leveredad en TLS.
A partir de 24th Mayo, hay 8.4% del millón de dominios principales se ven afectados por la vulnerabilidad Logjam.
Probar si el cliente es vulnerable
La forma más fácil de probar sería acceder a este Página de prueba del cliente de laboratorio SSL en la browser.
Alternativamente, también puedes probar esto una.
Pruebe si el servidor es vulnerable
Hay varias herramientas que puede utilizar para realizar pruebas.
Escáner TLS - un escáner en línea impulsado por Testssl.sh verifica el sitio dado en busca de errores de configuración y vulnerabilidad de TLS, incluido Logjam.
KeyCDN - otra herramienta para probar si el sitio es vulnerable a Logjam.
Reparar la vulnerabilidad del ataque Logjam
puedes hacerlosable EXPORTAR trajes de cifrado en la configuración respectiva del servidor web para mitigarate esta vulnerabilidad.
Apache HTTP Server
Disable exporte el cifrado agregando lo siguiente en el archivo de configuración SSL.
SSLCipherSuite !EXPORT
Reinicie Apache y eso es todo.
Nginx
Agregue lo siguiente en el archivo nginx.conf
ssl_ciphers '!EXPORT';
#Note: - If you already have ssl_ciphers configured, you just need to add !EXPORT in existing line instead of adding new one.
También puede referir Haga clic aquí para entrar. para solucionar este problema en Sendmail, Tomcat, IIS, HAProxy, Lighthttpd, etc.
¿Qué es lo siguiente?
Si está buscando protección de seguridad continua para su negocio en línea, puede considerar usar WAF basado en la nube.