1、MS11-030
安全公告:MS11-030;
知识库编号:KB2509553;
级别:高危
描述:本补丁修复了Windows DNS解析组件中存在的一处秘密报告的安全漏洞,已经获得网络访问权限的攻击者可以构造一个LLMNR广播请求给存在漏洞的系统,并导致攻击者的恶意代码得到执行,安装恶意程序或窃取用户隐私
MS11-030:Vulnerability in DNS Resolution Could Allow Remote Code Execution (2509553)
方案: 在防火墙处阻止 TCP 端口 5355 和 UDP 端口 5355
执行以下步骤:
- 打开组策略编辑器。
- 展开“计算机配置”,展开“管理模板”,展开“网络”,然后展开“DNS 客户端”。
- 双击“关闭多播名称解析”,单击“启用”,然后单击“确定”。
补丁:下载地址 KB2509553
2、Oracel DataBase Unsupported Version Detection
卸载 -> 升级
3、Unsupported Windows OS (remote)
解决建议 :
在主机的配置中强制消息签名。
在Windows上,这可以在策略设置“Microsoft network server: digital sign communications (always)”中找到在Samba上,该设置称为“服务器签名”。
4、MS17-010(Eternal blue永恒之蓝)
相关文章:CSDN:MS17-010(Eternal blue永恒之蓝)漏洞利用+修复方法
修复方案:
- 关闭445端口。
- 打开防火墙,安装安全软件。
- 安装对应补丁。
补丁:下载地址 kb4012598
5、SMB Server DOUBLEPULSAR Backdoor / Implant Detection (EternalRocks)
利用命令行关闭防火墙指定端口 445,135,137,138,139
netsh advfirewall set allprofile state on
win server2008关闭危险端口445,135,137,138,139的方法
6、oracle tns listener remote poisioning
远程数据投毒漏洞(CVE-2012-1675)
Oracle 2012年发布的告警,CVE-2012-1675漏洞是Oracle允许攻击者在不提供用户名/密码的情况下,向远程“TNS Listener”组件处理的数据投毒的漏洞。举例:攻击者可以再不需要用户名密码的情况下利用网络中传送的数据消息(包括加密或者非加密的数据),如果结合(CVE-2012-3137漏洞进行密码破解)从而进一步影响甚至控制局域网内的任何一台数据库。
Oracle漏洞表述
卸载 -> 升级
7、SSL Certificate Signed using Weak Hashing Algorithm (弱算法)
参考文档
SSL Certificate Signed Using Weak Hashing Algorithm 和SSL Medium Strength Cipher Suites Supported的解决方案
8、SSL Medium Strength Cipher Suites Supported (弱算法)
参考文档
SSL Certificate Signed Using Weak Hashing Algorithm 和SSL Medium Strength Cipher Suites Supported的解决方案
9、SSL Certificate Cannot Be Trusted
SSL 证书无法受到信任
10、SSL Self-Signed Certificate
SSL 自签名证书
11、TLS Version 1.0 Protocol Detection
漏洞介绍
SSL经过几年发展,于1999年被IETF纳入标准化,改名叫TLS 1.0,和SSLv3.0相比几乎没有做什么改动。2006年提出了TLS v1.1,修复了一些bug,支持更多参数。2008年提出了TLS v1.2做了更多的扩展和算法改进,是目前(2019年)几乎所有新设备的标配。TLS v1.3在2014年已经提出,2016年开始草案制定,然而由于TLS v1.2的广泛应用,必须要考虑到支持v1.2的网络设备能够兼容v1.3,因此反复修改直到第28个草案才于2018年正式纳入标准。TLSv1.3改善了握手流程,减少了时延,并采用完全前向安全的密钥交换算法。
漏洞危害
远程服务接受使用TLS 1.0加密的连接。TLS 1.0具有许多密码设计缺陷。为了符合支付卡行业数据安全标准(PCI DSS)并符合行业最佳实践,PCI标准规定TLS1 .0安全通信于2018年6月30日不再生效。自2020年3月31日起,尚未启用TLS 1.2及更高版本的端点将不再与主流的Web浏览器和主要的供应商一起正常运行。
漏洞修复
配置nginx server 下添加如下内容:
ssl_protocols TLSv1.2;
禁用TLS1.0解决PCI DSS不合规问题
修改IIS的SSL和TLS不同版本的协议
12、MS16-047
补丁:下载地址 MS16-047
13、MS12-073
补丁:下载地址 MS12-073
14、SMB Signing not Required
漏洞修复
1、使用Windows+R快捷键打开运行窗口输入gpedit.msc进入本地组策略编辑器。
2、依次点击计算机配置>Windows设置>安全设置>本地策略>安全选项。
3、如果是服务端需要启用SMB签名,请启用Microsoft网络服务器:对通信进行数字签名(始终)。
4、如果是客户端需要启用SMB签名,请启用Microsoft网络服务器:对通信进行数字签名(如果客户端允许)。
5、管理员运行cmd输入gpupdate /target:computer,是修改后的策略生效。
6、漏洞验证。
本人添加
上面关闭端口的方法若是不想使用的话,可以使用windows系统的windows防火墙,在控制面板中的防火墙的高级设置里面有添加入站规则,自己就可以设置
15、SSL RC4 Cipher Suites Supported (Bar Mitzvah)
远程服务支持使用 RC4 密码。
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)/SSL/TLS RC4 信息泄露漏洞(CVE-2013-2566)/SSL/TLS 受诫礼(BAR-MITZVAH)攻击漏洞(CVE-2015-2808)
安全漏洞 SSL/TLS 受诫礼(Bar-Mitzvah)攻击漏洞(CVE-2015-2808)
修复SSL RC4 Cipher Suites Supported (Bar Mitzvah)漏洞
评论区