BES中間件3種漏洞修復方法
點擊上方“IT那活兒”公眾號,關注后了解更多內(nèi)容�,不管IT什么活兒,干就完了?���。?��!
知識點描述:
安全廠商掃描機器后BES存在相關漏洞�����,需要通過前臺控制臺頁面修改HTTP和IIOP端口配置����,或者通過BES域控制文件修改相關參數(shù)解決漏洞。
漏洞1 SSL/TLS 服務器瞬時 Diffie-Hellman 公共密鑰過弱【原理掃描】
1)登陸控制臺�,點擊 管理服務器—>服務—>WEB容器—>HTTP監(jiān)聽器,點擊掃描出漏洞對應監(jiān)聽端口的listener���。
2)在SSL配置中按照下圖部署密碼套件���。
3)重啟BES服務。
漏洞2 服務器支持 TLS Client-initiated 重協(xié)商攻擊(CVE-2011-1473)【原理掃描】
1)登陸控制臺�����,點擊 管理服務器—>服務—>EJB容器—>IIOP監(jiān)聽器�。
2)根據(jù)漏洞端口號點擊對應名稱進去。
3)在下圖中狀態(tài)將鉤點掉后點擊保存�。
4)重啟BES服務
5)假若無法登陸控制臺,可以在adminserver路徑下的域控制文件中更改domain.config����,將下圖中true改成false���。
漏洞3 HTTP慢速攻擊漏洞
1)點擊 獨立實例—>實例名—>服務—>WEB容器—>HTTP監(jiān)聽器,找到下圖中右邊三個監(jiān)聽器�����。
2)修改這三個監(jiān)聽器中HTTP屬性中的連接上載超時時間�,具體時間需要根據(jù)實際情況做修改��,掃出漏洞可將時間調(diào)小�,圖片僅作為參考。(三個都修改��,如果監(jiān)聽器未啟用���,則不需要修改)
3)修改完成后重啟實例�,可在控制臺重啟也可以在后臺adminserver/bin目錄下使用腳本重啟����。
4)若用前臺頁面打開登陸控制臺,可在adminserver/config目錄下修改domain.config文件��,按照encoded-slash-enabled="true"搜索,將connection-upload-timeout-millis的值修改后重啟BES實例����。
本文來源:“IT那活兒”公眾號
文章版權歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/129284.html
