Linux基础——CVE-2016-2183漏洞

一、漏洞描述

漏洞编号：CVE-2016-2183

漏洞描述：该缺陷与DES/3DES密码算法的设计相关。

密码算法：如果没有禁用DES/3DES密码算法的情况，一般有大量的强密码算法如AES在DES/3DES的密码套件之上优先使用。

漏洞发生：可能用户在ssh、apache、Tomcat等应用配置的算法上使用DES/3DES的算密码算法，可人工输出算法列表检查。

 

二、漏洞排查（OpenEuler系统为例）

Openssl检查密码套件

openssl ciphers -v | grep -i 'des'

 SSH检查密码算法

# 查询ssh的client端

[root@harbor ~]# ssh -Q key | grep -i des

[root@harbor ~]# ssh -Q key
ssh-ed25519
ssh-ed25519-cert-v01@openssh.com
sk-ssh-ed25519@openssh.com
sk-ssh-ed25519-cert-v01@openssh.com
ssh-rsa
ssh-dss
ecdsa-sha2-nistp256
ecdsa-sha2-nistp384
ecdsa-sha2-nistp521
sk-ecdsa-sha2-nistp256@openssh.com
ssh-rsa-cert-v01@openssh.com
ssh-dss-cert-v01@openssh.com
ecdsa-sha2-nistp256-cert-v01@openssh.com
ecdsa-sha2-nistp384-cert-v01@openssh.com
ecdsa-sha2-nistp521-cert-v01@openssh.com
sk-ecdsa-sha2-nistp256-cert-v01@openssh.com
sm2
sm2-cert

# 查询ssh的server端密码算法配置
[root@harbor ~]# sshd -T | grep -w kexalgorithms | grep -i des
[root@harbor ~]# sshd -T | grep -w kexalgorithms
kexalgorithms curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256

 

结论：

目前openssl 的ciphers加密套件不涉及DES/3DES弱密码算法；

openssh服务端和客户端不涉及DES/3DES弱密码算法；

其他nginx、tomcat、httpd等应用检查conf配置排除涉及DES/3DES的弱密码算法来规避漏洞；

参考

# 红帽官网漏洞说明
https://access.redhat.com/articles/2548661
https://access.redhat.com/errata/RHSA-2017:3113
# openssl算法检查方法
https://www.cnblogs.com/LiuYanYGZ/p/6004990.html
# ssh禁用DES/3DES配置（避免三方安全漏扫）
https://www.cnblogs.com/supermwb/p/15879942.html
# nmap漏扫DES/3DES漏洞及tomcat的3DES禁用
https://blog.csdn.net/weixin_39724395/article/details/122246326
# OpenEuler的openssl加密接口
https://docs.openeuler.org/zh/docs/25.03/server/security/shangmi/algorithm-library.html
# 红帽生成加密秘钥和生成证书
https://docs.redhat.com/zh-cn/documentation/red_hat_enterprise_linux/7/html/security_guide/sec-using_openssl#sec-Creating_and_Managing_Encryption_Keys