相关文章推荐
小百科  ›  k8s漏洞-CVE-2016-2183修复_cve-2016-2183漏洞复现_day-day-up2的博客
个性的山楂
2 年前

1.复制并备份 etcd 静态 pod 清单文件 : 

 cp /etc/kubernetes/manifests/etcd.yaml   ~/etcd.yaml
 cp  ~/etcd.yaml   ~/etcd.yaml.bak

·2.打开etcd.yaml 静态 pod 清单文件,进行编辑:
 

 vim  ~/etcd.yaml

3.将以下选项添加到 etcd 静态 pod 清单文件:
 

 "--cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"

如图所示:
 在这里插入图片描述
 

4.复制更新后的 etcd 静态 pod 清单。复制回文件后,Kubelet 会自动重启 etcd 服务:
 

 cp ~/etcd.yaml  /etc/kubernetes/manifests/etcd.yaml

注意:这里有危险动作,不要用kubectl apply -f ,可能会将集群搞挂,难以修复。他自己会自动重启的,cp即可
 5.验证 etcd 服务是否已启动
 

 docker ps |grep etcd

以下是示例输出:
 

416e7e7ed2a5    33bdcac177c2    "etcd --name=etcd0 -…"   2 minutes ago   Up 2 minutes   k8s_etcd_

6.Openssl验证:
 

openssl s_client -connect ip:port -cipher "DES:3DES" -ssl2
openssl s_client -connect ip:port -cipher "DES:3DES" -ssl3
openssl s_client -connect ip:port -cipher "DES:3DES" -tls1
openssl s_client -connect ip:port -cipher "DES:3DES" -tls1_1
openssl s_client -connect ip:port -cipher "DES:3DES" -tls1_2

如图所示:
 在这里插入图片描述
 7.漏洞扫描验证:
 

 git clone --depth 1 https://gitcode.net/mirrors/drwetter/testssl.sh.git

 cd  testssl.sh

./testssl.sh -W 192.168.5.230:2379

在这里插入图片描述
 看到: not vulnerable (OK) 说明已修复了
 8.补充:
 如果仍然未修复,请升级openssl版本
 参考文档:https://blog.csdn.net/qq_36902628/article/details/118997046
 如果k8s是多master,请在每一台master上做1–8步
 
 
此篇文章为本人在生产实践得出解决方案,全网仅此一篇文章,兄弟们引用本篇文章,请注明出处。祝大家工作顺利!
 
				
zabbix SQL注入漏洞CVE-2016-10134)
zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix 的latest.php中的toggle_ids[]或jsrpc.php种的profieldx2参数存在sql注入,通过sql注入获取管理员账户密码,进入后台,进行getshell操作。
文中所利用工具我会在下一个资源上传(CVE-2016-10134POC)

				
CVE-2016-4437 Shiro550 & Shiro721 RememberMe Padding Oracle
Shiro721 RememberMe Padding Oracle影响版本:  
- Apache Shiro 1.2.5,1.2.6,1.3.0,1.3.1,1.3.2,1.4.0-RC2,1.4.0,1.4.1  
CVE-2016-4437 Shiro550影响版本:  
- Apache Shiro<=1.2.4  
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞:
TLS, SSH, IPSec协商及其他产品中使用的DES及Triple DES密码存在大约四十亿块的生日界,这可使远程攻击者通过Sweet32攻击,获取纯文本数据。
风险级别:低
该漏洞又称为SWEET32(https://sweet32.info)是对较旧的分组密码算法的攻击,它使用64位的块大小,缓解SWEET32攻击OpenSSL 1.0.1和OpenSSL 1.0.2中基于DES密码套件从“高”密码字符串组移至“中”;但Op

关于SSL/TLS协议信息泄露漏洞(CVE-2016-2183)的处理方法,网上教程一大堆。
我以 windows操作系统 为例,浅谈一下我对这个漏洞修复的理解。
   一、win7操作系统 
1、打开控制面板  打开网络和Internet
2、打开Internet 选项
3、选择高级
4、下滑选项 找到 TLS 只勾选 使用TLS 1.2
5、win+R 输入gpedit.msc 打开组策略编辑器
6、依次选择 计算机配置 管理模板 网络 SSL配置设置 并双击打开
7、点击已启用
				
作者:老 Z,中电信数智科技有限公司山东分公司运维架构师,云原生爱好者,目前专注于云原生运维,云原生领域技术栈涉及 Kubernetes、KubeSphere、DevOps、OpenStack、Ansible 等。
测试服务器配置
zdeops-master
192.168.9.9
Ansible 运维控制节点
ks-k8s-master-0
192.168.9.91
200+200
 
推荐文章
今天看啥   ·   Py中国   ·   codingpro   ·   小百科   ·   link之家   ·   卧龙AI搜索
删除内容请联系邮箱 2879853325@qq.com
小百科 - 百科知识指南
© 2024 ~ 沪ICP备11025650号