CVE-2016-2183 修复过程，亲测有效

1. 问题描述

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

TLS是安全传输层协议，用于在两个通讯应用程序之间提供保密性和数据完整性。
TLS, SSH, IPSec协商及其余产品中使用的DES及Triple DES密码存在大约四十亿块的生日界，这可以使远程攻击者经过Sweet32攻击，获取纯文本数据。

2.问题解决过程

首先从这个漏洞介绍中得知

• https://www.openssl.org/news/secadv/20160922.txt

OpenSSL 1.1.0 之后没有此漏洞，而且本地的openssl 版本高于1.1.0

换个思路去找问题

经过下面连接了解nmap 扫描工具能够知道漏洞的来源(复测)

• https://www.e-learn.cn/topic/3756431

nmap安装方式请另行百度(案例的服务器是redhat,去官网下载的rpm包,rpm -ivh 包就安装成功了)

经过下面的命令获得结果
nmap -sV --script ssl-enum-ciphers -p 443 www.example.com (ip 也能够)

发现3DES 加密是C级别的,而且有个warning 跟 CVE-2016-2183 的描述大概一致

3.解决问题

• http://www.javashuo.com/article/p-mmhhzsxn-ko.html

经过配置nginx 的设置 ssl_ciphers HIGH:!aNULL:!MD5:!3DES;
注: !3DES是后添加的过滤

以后nginx -t 检查配置文件
nginx -s reload 重启nginx

4.复测
nmap -sV --script ssl-enum-ciphers -p 443 www.example.com (ip 也能够)

问题解决