F5常见漏洞处理

avatar

whb

You can stand under my umbrella.
文章 评论 标签
88 105 114
最新回复
二猫 二猫
放假深夜穿个门,,,,
Kevin Wu Kevin Wu
博客真好看
请问 这是什么程序源码啊
111 111
666
小菜鸡 小菜鸡
大佬大佬
务必早睡早起 务必早睡早起
1
随便看看
2022 年 03 月 13 日
F5 配置 DNS 解析日志
2021 年 08 月 13 日
Portal Access模式VPN配置
2021 年 08 月 25 日
Openstack 部署之 Openstack 基础(一)
首页 / 🍁F5 / 正文

一、CVE-2016-2183

1、管理接口漏洞

(1) 获取管理地址支持的密码套件

[root@localdns3:Active:Standalone] config # tmsh list sys httpd ssl-ciphersuite
sys httpd {
    ssl-ciphersuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES128-SHA256:AES256-SHA256
}

(2)在所支持的密码套件中禁用 3DES 密码,在上一步输出的密码套件后加 :!3DES

[root@localdns3:Active:Standalone] config # tmsh modify sys httpd ssl-ciphersuite "ssl-ciphersuite ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-SHA:ECDHE-RSA-AES256-SHA:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES128-SHA:ECDHE-ECDSA-AES256-SHA:ECDHE-ECDSA-AES128-SHA256:ECDHE-ECDSA-AES256-SHA384:AES128-GCM-SHA256:AES256-GCM-SHA384:AES128-SHA:AES256-SHA:AES128-SHA256:AES256-SHA256:!3DES"

(3)修改ssl协议,禁用低版本ssl协议

[root@localdns3:Active:Standalone] config # tmsh modify sys httpd ssl-protocol "all -SSLv2 -SSLv3 -TLS v1"

(4)保存配置

[root@localdns3:Active:Standalone] config # tmsh save sys config

2、业务端口漏洞

(1)查看 ssl profile 证书密码套件

[root@localhost:Active:Standalone] config # tmsh list ltm profile client-ssl test_clientssl ciphers 
ltm profile client-ssl test_clientssl {
    ciphers DEFAULT
}

(2)修改 ssl profile ,在所支持的密码套件中禁用 3DES 密码,在上一步输出的密码套件后加 :!3DES 。

[root@localhost:Active:Standalone] config # tmsh modify ltm profile client-ssl test_clientssl ciphers "DEFAULT:!3DES"

(3)保存配置

[root@localdns3:Active:Standalone] config # tmsh save sys config

3、相关官方文档

https://support.f5.com/csp/article/K13167034

二、SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱

(1)查看 ssl profile 证书密码套件

[root@localhost:Active:Standalone] config # tmsh list ltm profile client-ssl test_clientssl ciphers 
ltm profile client-ssl test_clientssl {
    ciphers DEFAULT
}

(2)修改 ssl profile ,在所支持的密码套件中禁用 DHE 密码,在上一步输出的密码套件后加 :!DHE 。

[root@localhost:Active:Standalone] config # tmsh modify ltm profile client-ssl test_clientssl ciphers "DEFAULT:!DHE"

(3)保存配置

[root@localdns3:Active:Standalone] config # tmsh save sys config
F5CVEBIGIP
版权属于:whb
本文链接:http://www.whbblog.cn/348.html
作品采用 知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议 进行许可
打赏
F5 ZoneRunner CNAME 转发配置
« 上一篇
F5 常用手册(长期更新)
下一篇 »
文章目录