[fatedier/frp]SSL使用的密码采用中强度解密,即使用的KEY解密长度至少64位,但少于112位

2024-02-21 757 views
7

被安全检测的公司扫描到一个漏洞,是否有配置项可以配置

image

 加固建议: 重新设置受影响的应用程序,可能的话,避免使用中强度加密,改为强度较高的加密算法。

回答

4

不太清楚具体的含义,以及是怎样请求

3

这个漏洞有可能是误报,请作者看看nginx里的这个漏洞描述是否有帮助

https://web175.com/archives/Nginx%E4%BF%AE%E5%A4%8D%E5%85%81%E8%AE%B8SSL%E9%87%87%E7%94%A8%E4%B8%AD%E5%BC%BA%E5%BA%A6%E5%8A%A0%E5%AF%86%E6%BC%8F%E6%B4%9E.html

Here is the list of medium strength SSL ciphers supported by the remote server : Medium Strength Ciphers (> 64-bit and < 112-bit key, or 3DES) ECDHE-RSA-DES-CBC3-SHA Kx=ECDH Au=RSA Enc=3DES-CBC(168) Mac=SHA1
The fields above are : {OpenSSL ciphername} Kx={key exchange} Au={authentication} Enc={symmetric encryption method} Mac={message authentication code} {export flag}

请求这一块,不知道安全公司的检测方式是什么样的,可能是使用nmap调用了一串命令测试frps服务端口的ssl连接

这份安全报告的文档还有两个漏洞涉及到frp,在列出的受影响的端口列表里除了frps的,还有443 image

image  加固建议: 启用对TLS 1.2和1.3的支持,并禁用对TLS 1.0的支持。

image 启用对TLS 1.2和/或1.3的支持,并禁用对TLS 1.1的支持。

8

TLS 目前用是 golang 默认配置,默认不禁用 TLS 1.1。

可以考虑支持这个配置,来选择禁用的 TLS 版本,不过不确定禁用之后是不是会有兼容性问题。而且既然是 Golang 默认的行为,可能主要是出于兼容性的考虑,在大部分场景下应该都是可以接受的。

另外你上面列了 7000-7003 四个端口,7000 可以理解是 frp 自身使用的。剩下三个端口你应该也不是全是 vhost_https_port,可能是直接 tcp 端口转发,那这个 TLS 配置,可能就是你内网自身服务的 TLS 版本,这个是没法在 frp 这个层面修改的。

4

明白了,谢谢回复~

8

tls至少得1.2, 这个在frps.toml如何设置?