漏洞描述：

见 http://bbs.aliyun.com/read/231806.html 。 

漏洞修复： 

注：建议在修复前创建服务器快照，以免修复失败造成损失。


方案一：（httpd & nginx用户，推荐）

打开httpd、nginx的配置文件，修改SSL使用的加密算法：

nginx修改为  ssl_ciphers HIGH:!aNULL:!MD5:!EXPORT56:!EXP;

httpd修改为  SSLCipherSuite HIGH:!aNULL:!MD5:!EXPORT56:!EXP

修改完毕后，请重启WEB服务。


方案二：（tomcat用户，推荐）

打开tomcat的配置文件server.xml，在SSL对应的中添加下列属性：

tomcat 5,6:

SSLEnabled="true"

sslProtocols="TLSv1,TLSv1.1,TLSv1.2"

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

tomcat >=7:

SSLEnabled="true"

sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA,SSL_RSA_WITH_RC4_128_SHA"

修改完毕后，请重启tomcat服务。


方案三：（IIS用户，推荐）

在注册表中把不安全的加密算法和不安全的SSL协议禁用。

点击“开始”——“运行”——输入“regedit”——回车

路径定位到 HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL，完成下列步骤：

1、打开Protocols\PCT 1.0\Server，右击空白处新建“字符串值”，命名为“Enabled”。双击该键值，填入0，并确定。

2、打开Protocols\SSL 2.0\Server，右击空白处新建“字符串值”，命名为“Enabled”。双击该键值，填入0，并确定。

3、打开Ciphers\DES 56/56，右击空白处新建“字符串值”，命名为“Enabled”。双击该键值，填入0，并确定。

4、打开Ciphers\RC2 40/128，右击空白处新建“字符串值”，命名为“Enabled”。双击该键值，填入0，并确定。

5、打开Ciphers\RC2 128/128，右击空白处新建“字符串值”，命名为“Enabled”。双击该键值，填入0，并确定。

6、打开Ciphers\RC4 40/128，右击空白处新建“字符串值”，命名为“Enabled”。双击该键值，填入0，并确定。

7、打开Ciphers\RC4 56/128，右击空白处新建“字符串值”，命名为“Enabled”。双击该键值，填入0，并确定。

8、打开Ciphers\RC4 128/128，右击空白处新建“字符串值”，命名为“Enabled”。双击该键值，填入0，并确定。

修改完成后，需重启电脑才能生效。


方案四：（IIS用户）

微软官方已经发布针对FREAK漏洞的修复补丁，编号为KB3046049

用户可在自己的服务器上打开“Windows Update”自动更新功能，或自行下载补丁进行安装：

https://www.microsoft.com/en-us/search/DownloadsDrillInResults.aspx?q=KB3046049&cateorder=2_5_1&first=1

安装更新后，需重启电脑才能生效。


方案五：

首先请确认443端口被哪个服务调用，然后更新该程序所依赖的openssl版本。

推荐把openssl版本更新到最新的 1.0.2a (2015-03-19发布)

OpenSSL的1.0.1的用户应该升级到1.0.1m或以上

OpenSSL的1.0.0的用户应该升级到1.0.0r或以上

OpenSSL的0.9.8的用户应该升级到0.9.8zf或以上

更新完毕后,请重启调用443端口的服务。 



转自：

（https://help.aliyun.com/knowledge_detail/5995398.html?spm=5176.2020520110.0.0.VI2ZCk#Openssl FREAK 中间人劫持漏洞）