SSL VPN扫描出sweet32漏洞处理

一、问题背景

       1.使用漏洞扫描工具扫描SSLVPN（M7.6.8 R2）的https 443和8118端口存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞，漏洞名称叫法较多，如SSL 64-bit Block Size Cipher Suites Supported (SWEET32)或者叫 存在64位块分组密码组件支持(SWEET32)漏洞或者叫 SSL Medium Strength Cipher Suites Supported或者叫 SSL 64-bit Block Size Cipher Suites Supported (SWEET32)或者叫 存在64位块分组密码组件支持(SWEET32)漏洞，漏洞编号：CVE-2016-6329 CVE-2016-2183建议重新配置或禁用受影响应用程序对64位块密码组件的支持或者叫支持SSL中等强度密码套件或者叫 ssl支持中等加密算法或者叫 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)

      2.扩展到高版本，修复页面中开启sweet32不生效问题；

二、处理过程

【补丁包MD5值】

      77806e1073cbc7a67871025b6597e2ad

【打包是否拆集群】

      是

【是否需要重启设备】

      否

【需要重启哪些服务】

      sagnfor-svpn

【对客户业务影响】

     重启了svpn服务，但老版本svpn附带重启了很多其他服务，会影响用户业务，请知晓

【升级方法】

      打包步骤：1、使用升级客户端加载ssu升级包升级（补丁包在网盘或向400同事获取，集群先升级分发器，高版本有sweet32防护勾选项打完包同时也需要勾选）

【回退方案】

     如果升级后出现异常可如下操作回滚：

     1、执行cd /hislog/cti-support/[此问题对应的td号]

     例如：td包：20190109_CTI-Support_M7.6.3_TD45172.ssu               

     对应的回滚目录：/hislog/cti-support/TD45172               

     需要执行: cd /hislog/cti-support/TD45172

     2、执行 ./ssl-support.sh -roll

三、注意事项

     1、6.9以及之后版本都会使用DES-CBC3-SHA套件，该套件是为了兼容低版本浏览器而保留的，更新补丁会导致IE6 IE7 和 xp系统无法连接SSLVPN。打包前请和客户确认

     2、升级后会重启vpn服务，不会重启设备，客户端不会更新插件

     3、集群环境需要拆开集群，保证每台设备打完补丁包之后，在加入集群

     4、双机环境需要拆开双机打，打完之后在加入双机5、不支持集群、双机环境回滚，需拆集群单台设备分别回滚

多谢楼主分享，有助于工作

非常好，有助于工作，非常感谢！！！

每天学习亿点点！！！！！

感谢分享，有助于学习！！！

感谢分享有助于工资和学习！

感谢分享有助于工资和学习！

多谢楼主分享，有助于工作

感谢楼主分享，学习一下

感谢大佬分享，收获很多