如何解决weblogic节点管理器进程中SWEET32和Logjam漏洞

Question

我在Weblogic版本12.1.3.0.0和JDK1.8.0_101-B13中发现了NodeManager服务的以下漏洞

{ "port"：5556，"serviceName"："remotewatch?"，"protocol"："tcp"，"severity"：2，"pluginID"：42873，"pluginName"："SSL中等强度加密套件支持(SWEET32)"，"pluginFamily"：“常规”，“描述”：“远程主机支持使用中等强度加密的SSL加密。Nessus将中等强度视为使用密钥长度至少为64位且小于112位的任何加密，或者使用3DES加密套件。\n\n请注意，如果攻击者在同一物理网络上，则规避中等强度加密要容易得多。“，"fname"："ssl_medium_supported_ciphers.nasl"，"pluginModificationDate"："2019/02/28"，"pluginType"："remote"，"riskFactor"：" medium "，"scriptVersion"："1.20"，“解决方案”：“尽可能重新配置受影响的应用程序，以避免使用中等强度的密码。”，“概要”：“远程服务支持使用中等强度的SSL密码。”，"pluginOutput"："\n中等强度的密码(> 64位和<112位密钥，或3DES) \n \n RSA- DES-CBC3-SHA Kx=DH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 \nThe RSA-DES-cbc3-SHA Kx=ECDH Au=RSA Enc=3DES-CBC(168) Mac=SHA1 \n DES-cbc3-SHA Kx=RSA Au=RSA Enc=3DES-CBC(168) Mac=SHA1 \n\n以上字段为:\n\n {OpenSSL密码}\n Kx={密钥交换}\n Au={身份验证}\n Enc={对称加密方法}\n Mac={消息身份验证码}\n{导出标志}\n“，"cve"："CVE-2016-2183"，"complianceCheckName"：null，"complianceActualValue"：null }

{ "port"：5556，"serviceName"："remotewatch?"，"protocol"："tcp"，"severity"：1，"pluginID"：83875，"pluginName"："SSL/TLS Diffie-Hellman Modulus SSL 1024bits (Logjam)"，"pluginFamily"：“杂项”，“描述”：“远程主机允许一个或多个Diffie-Hellman模块小于或等于1024位的SSL/TLS连接。通过密码分析，第三方可能能够在很短的时间内找到共享密钥(取决于模数大小和攻击者资源)。这可能允许攻击者恢复明文或可能破坏连接的完整性。“，"fname"："ssl_logjam.nasl"，"pluginModificationDate"："2019/11/27"，"pluginType"："remote"，"riskFactor"："Low"，"scriptVersion"："1.24"，"solution"：”重新配置服务以使用2048位或更大的唯一Diffie-Hellman模数。“，“概要”：“远程主机允许SSL/TLS连接到一个或多个小于或等于1024位的Diffie-Hellman模块。”，"pluginOutput"：“\n易受攻击的连接组合:\n\n /TLS版本: TLSv1.0\n密码套件: TLS1_CK_DHE_RSA_WITH_AES_128_CBC_SHA\n Diffie-Hellman MODP大小(位)：1024\n警告-这是已知的静态Oakley Group2模块。这可能会使远程主机更容易受到TLS1_CK_DHE_RSA_WITH_3DES_EDE_CBC_SHA\n攻击。\n Logjam攻击难度: Hard (需要国家/地区资源)\n\ host /TLS版本: TLSv1.0\n密码套件: Oakley Diffie-Hellman MODP大小(位)：1024\n警告-这是已知的静态Group2模块。这可能会使远程主机更容易受到TLS1_CK_DHE_RSA_WITH_AES_256_CBC_SHA\n攻击。\n Logjam攻击难度: Hard (需要国家/地区资源)\n\ host /TLS版本: TLSv1.0\n密码套件: Oakley Diffie-Hellman MODP大小(位)：1024\n警告-这是已知的静态Group2模块。这可能会使远程主机更容易受到TLS1_CK_DHE_RSA_WITH_AES_128_CBC_SHA\n攻击。\n Logjam攻击难度: Hard (需要国家/地区资源)\n\ host /TLS版本: TLSv1.1\n密码套件: Oakley Diffie-Hellman MODP大小(位)：1024\n警告-这是已知的静态Group2模块。这可能会使远程主机更容易受到TLS1_CK_DHE_RSA_WITH_3DES_EDE_CBC_SHA\n攻击。\n Logjam攻击难度: Hard (需要国家/地区资源)\n\ host /TLS版本: TLSv1.1\n密码套件: Oakley Diffie-Hellman MODP大小(位)：1024\n警告-这是已知的静态Group2模块。这可能会使远程主机更容易受到TLS1_CK_DHE_RSA_WITH_AES_256_CBC_SHA\n攻击。\n Logjam攻击难度: Hard (需要国家/地区资源)\n\ host /TLS版本: TLSv1.1\n密码套件: Oakley Diffie-Hellman MODP大小(位)：1024\n警告-这是已知的静态Group2模块。这可能会使\n远程主机更容易受到Logjam攻击。\n Logjam攻击难度: Hard (需要国家/地区资源)\n“，"cve"："CVE-2015-4000"，"complianceCheckName"：null，"complianceActualValue"：null }

我曾尝试在NodeManager进程中添加"-Djdk.tls.ephemeralDHKeySize=2048“，但没有帮助。

有什么意见/建议吗？

Answer 1

您的网管进程是否反映了新的DH密钥大小？或者您可以尝试编辑java 1.8版本的lib/security/java.security，并将密钥大小改为2048。

Changing minimum key length for Diffie-Hellman