突發(fā)奇想，把漏洞修復(fù)的事情也記錄一個(gè)文檔，之前也修復(fù)過(guò)很多的漏洞，但是總是修復(fù)了就完事了，沒(méi)有留存記錄，以后的漏洞我會(huì)留一個(gè)tag專門(mén)記錄，如果正好其他人也有遇到的這樣的問(wèn)題，可以很快速的有一個(gè)處理方向和修復(fù)參考，本次記錄的漏洞是SWEET32。

漏洞描述：遠(yuǎn)程主機(jī)支持使用提供中等強(qiáng)度加密的 SSL 密碼。Nessus 將中等強(qiáng)度視為密鑰長(zhǎng)度為 64 至 112 位的任何加密，或使用 3DES 加密套件的加密。如果攻擊者位于同一物理網(wǎng)絡(luò)，其將非常容易避開(kāi)中等強(qiáng)度加密。（Nessus是一款廣泛使用的網(wǎng)絡(luò)漏洞掃描工具，用于發(fā)現(xiàn)和評(píng)估計(jì)算機(jī)系統(tǒng)和網(wǎng)絡(luò)中的安全漏洞。它是一款功能強(qiáng)大的商業(yè)工具，由Tenable Network Security開(kāi)發(fā)和維護(hù)。）

??漏洞攻擊原理：SWEET32是針對(duì)使用64位分組密碼的SSL/TLS協(xié)議的漏洞，攻擊者可利用碰撞攻擊導(dǎo)致信息泄露。該漏洞利用64位分組密碼在CBC模式下的特性，當(dāng)加密大量數(shù)據(jù)后可能出現(xiàn)密文塊碰撞（即相同輸入），從而推導(dǎo)明文。 ?

??方便個(gè)人測(cè)試SSL協(xié)議漏洞的工具及使用：

wget https://github.com/drwetter/testssl.sh/archive/refs/heads/3.2.zip -O testssl.zip
# 一個(gè)完全開(kāi)源的工具，在github上由Dirk Wetter 發(fā)起并維護(hù)，純 bash 腳本，不需要安裝額外依賴。
# 檢測(cè)目標(biāo)服務(wù)器的 TLS/SSL 協(xié)議、加密套件、漏洞情況（比如 Heartbleed、SWEET32、POODLE、LOGJAM 等）
# 不需要檢測(cè)的節(jié)點(diǎn)都安裝這個(gè)腳本，他是通過(guò)網(wǎng)絡(luò)進(jìn)行握手去檢測(cè)使用的協(xié)議。

unzip testssl.zip && cd testssl.sh-3.2 

yum install -y bind-utils
# apt install -y dnsutils

./testssl.sh <IP>:<PORT>

??我目前掃描出的漏洞端口是6443，即K8S集群中ApiServer的協(xié)議漏洞，發(fā)現(xiàn)我的K8S集群版本比較老，當(dāng)時(shí)可能為了兼容一些老的TLS/SSL協(xié)議，并未料到這些協(xié)議后面發(fā)現(xiàn)了漏洞。（至于要掃描哪些端口，需要進(jìn)行判斷，常見(jiàn)的如443、8443、6443、2379、3306、9200、9443等，任何 TCP 服務(wù)端口都可能啟用 TLS，可以使用ss -lntp找出監(jiān)聽(tīng)的TCP端口，然后寫(xiě)進(jìn)腳本里全部檢查一遍最為可靠）。

??解決辦法：①修改ApiServer參數(shù)配置，指定協(xié)議種類 ②升級(jí)K8S集群版本(通常代價(jià)會(huì)很大)

vim /etc/kubernetes/manifests/kube-apiserver.yaml

--tls-cipher-suites=TLS_ECDHE_ECDSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_CHACHA20_POLY1305,TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305
--tls-min-version=VersionTLS12

# 修改 manifest 目錄下的文件會(huì)自動(dòng)重啟，不需要人工重啟
kubectl get pods -n kube-system | grep kube-apiserver