點(diǎn)擊上方“IT那活兒”公眾號(hào)，關(guān)注后了解更多內(nèi)容，不管IT什么活兒，干就完了?。?！

  

知識(shí)點(diǎn)描述：

安全廠商掃描機(jī)器后BES存在相關(guān)漏洞，需要通過前臺(tái)控制臺(tái)頁面修改HTTP和IIOP端口配置，或者通過BES域控制文件修改相關(guān)參數(shù)解決漏洞。

漏洞1 SSL/TLS 服務(wù)器瞬時(shí) Diffie-Hellman 公共密鑰過弱【原理掃描】

1）登陸控制臺(tái)，點(diǎn)擊 管理服務(wù)器—>服務(wù)—>WEB容器—>HTTP監(jiān)聽器，點(diǎn)擊掃描出漏洞對(duì)應(yīng)監(jiān)聽端口的listener。

2）在SSL配置中按照下圖部署密碼套件。

3）重啟BES服務(wù)。

漏洞2 服務(wù)器支持 TLS Client-initiated 重協(xié)商攻擊(CVE-2011-1473)【原理掃描】

1）登陸控制臺(tái)，點(diǎn)擊 管理服務(wù)器—>服務(wù)—>EJB容器—>IIOP監(jiān)聽器。

2）根據(jù)漏洞端口號(hào)點(diǎn)擊對(duì)應(yīng)名稱進(jìn)去。

3）在下圖中狀態(tài)將鉤點(diǎn)掉后點(diǎn)擊保存。

4）重啟BES服務(wù)

5）假若無法登陸控制臺(tái)，可以在adminserver路徑下的域控制文件中更改domain.config，將下圖中true改成false。

漏洞3 HTTP慢速攻擊漏洞

1）點(diǎn)擊 獨(dú)立實(shí)例—>實(shí)例名—>服務(wù)—>WEB容器—>HTTP監(jiān)聽器，找到下圖中右邊三個(gè)監(jiān)聽器。

2）修改這三個(gè)監(jiān)聽器中HTTP屬性中的連接上載超時(shí)時(shí)間，具體時(shí)間需要根據(jù)實(shí)際情況做修改，掃出漏洞可將時(shí)間調(diào)小，圖片僅作為參考。（三個(gè)都修改，如果監(jiān)聽器未啟用，則不需要修改）

3）修改完成后重啟實(shí)例，可在控制臺(tái)重啟也可以在后臺(tái)adminserver/bin目錄下使用腳本重啟。

4）若用前臺(tái)頁面打開登陸控制臺(tái)，可在adminserver/config目錄下修改domain.config文件，按照encoded-slash-enabled="true"搜索，將connection-upload-timeout-millis的值修改后重啟BES實(shí)例。