经安全公司扫描发现,服务器使用的中间件有如下漏洞:
1.thc ssl dos攻击【原理扫描
2.SSL 3.0 POODLE攻击信息泄露漏洞(CVE-2014-3566)【原理扫描】
3.SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)【原理扫描】
4.SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】
请问有修复过对应的漏洞吗?如何修复?
安全公司只能从外网访问,你们不可能把WAS直接暴露给外网吧?!好歹得有一层Web服务器吧?
这些漏洞我以前应该是都修复过,SSLv2 v3早就该禁掉了。。。IHS上配置很简单,如果是apache系的Web服务器,一行搞定SSLProtocolDisable SSLv2 SSLv3
,禁用RC4可以参照以前我写的一篇文章来做:
http://blog.dellyqiao.com/security/middleware/2015/04/07/disable-rc4-cipher-for-iisapacheihs
安全公司没有给你们修复意见吗。一般来说主要考虑几个方面
1.采用硬件安全网关防护
2,升级中间件,操作系统等,修补相应的漏洞
3.优化代码。加强程序代码的安全性。