阿里云的SLB的安全漏洞--TLS弱密码加密算法漏洞

向右看齐 2022-04-25 10:24 417阅读 0赞

最近客户投诉说产品有TLS协议的低版本和弱密码的漏洞，本来我觉得直接到产品中修改就可以了，后来发现真的不是我想象的那样。因为产品因为性能通过阿里云的负载均衡SLB来控制这个TLS协议的。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70][]

1. TLS协议的可配置

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 1][]

通过上面的方式，可以进行配置上面的协议内容，但是发现上面的**DES-CBC3-SHA** ，但是找不到去掉这个弱密码的地方，测试了一下亚马逊云，发现112位弱密码已经彻底的从TLS协议中删除了，但TLS1.0弱协议还是存在的。

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 2][]

![watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 3][]

上面的表格可以看到AWS的这块加密协议根本没有112位的，同时可以进行可配置，但阿里的却不行。

提了工单给阿里云售后，给的回复是让我填写产品需求，但这明明是一个安全bug。

无语中，而且我问了即时填写了也是遥遥无期。

我看他这个漏洞到底什么时候能修复。。。。

如果对这个问题看的比较重，或者安全意识比较强的话，可选择AWS。。。

[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70]: /images/20220125/70d6787a55f6423ab283a8448b27e8eb.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 1]: /images/20220125/bc8df7b4263a4463ba597192b8b315c2.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 2]: /images/20220125/b0a70cef1fab4d508a42f7cf73f4c96f.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L20wXzM3MjY4ODQx_size_16_color_FFFFFF_t_70 3]: /images/20220125/7a1b5994204a424a9dd4fed56e4b699c.png