服务器支持 TLS Client-initiated 重协商攻击(CVE-2011-1473)【原理扫描】
因为rocketmq使用tls协议来处理通信,但是仍然使用tlsV1协议版本,该漏洞应该是因为tls协议版本过低导致的
检测命令:连接上证明tsl1协议打开
openssl s_client -connect 127.0.0.1:9876 -tls1
修改两个地方
1、启动配置参数
mq启动的配置文件中加入以下参数(启动namesrv和Broker服务 #mqnamesrv和mqbroker启动文件分别调用了runserver.sh和runbroker.sh文件)
#禁用tls1.0参数
JAVA_OPT="${JAVA_OPT} -Dhttps.protocols=TLSv1.2"
JAVA_OPT="${JAVA_OPT} -Djdk.tls.disabledAlgorithms=SSLv3,RC4,MD5withRSA,DH,TLSv1"
JAVA_OPT="${JAVA_OPT} -Djdk.tls.client.protocols=TLSv1.1,TLSv1.2"
2、java配置文件中修改参数(JAVA_HOME/jre/lib/security/java.security配置文件)
添加一个 TLSv1, 就可以了
修改完成后重启mq服务,再次检测
openssl s_client -connect 127.0.0.1:9876 -tls1
openssl命令详细
https://www.cnblogs.com/kungfupanda/p/4637740.html
转自:
https://blog.csdn.net/weixin_43804472/article/details/86502614