frp
frp copied to clipboard
fatedier
[Feature Request] SSL使用的密码采用中强度解密,即使用的KEY解密长度至少64位,但少于112位
Describe the feature request
被安全检测的公司扫描到一个漏洞,是否有配置项可以配置
加固建议: 重新设置受影响的应用程序,可能的话,避免使用中强度加密,改为强度较高的加密算法。
Describe alternatives you've considered
No response
Affected area
- [ ] Docs
- [ ] Installation
- [ ] Performance and Scalability
- [X] Security
- [ ] User Experience
- [ ] Test and Release
- [ ] Developer Infrastructure
- [ ] Client Plugin
- [ ] Server Plugin
- [ ] Extensions
- [ ] Others
这个漏洞有可能是误报,请作者看看nginx里的这个漏洞描述是否有帮助
https://web175.com/archives/Nginx%E4%BF%AE%E5%A4%8D%E5%85%81%E8%AE%B8SSL%E9%87%87%E7%94%A8%E4%B8%AD%E5%BC%BA%E5%BA%A6%E5%8A%A0%E5%AF%86%E6%BC%8F%E6%B4%9E.html
Here is the list of medium strength SSL ciphers supported by the remote server :
Medium Strength Ciphers (> 64-bit and < 112-bit key, or 3DES)
ECDHE-RSA-DES-CBC3-SHA Kx=ECDH Au=RSA Enc=3DES-CBC(168) Mac=SHA1
The fields above are :
{OpenSSL ciphername}
Kx={key exchange}
Au={authentication}
Enc={symmetric encryption method}
Mac={message authentication code}
{export flag}
请求这一块,不知道安全公司的检测方式是什么样的,可能是使用nmap调用了一串命令测试frps服务端口的ssl连接
这份安全报告的文档还有两个漏洞涉及到frp,在列出的受影响的端口列表里除了frps的,还有443
加固建议:
启用对TLS 1.2和1.3的支持,并禁用对TLS 1.0的支持。
启用对TLS 1.2和/或1.3的支持,并禁用对TLS 1.1的支持。
TLS 目前用是 golang 默认配置,默认不禁用 TLS 1.1。
可以考虑支持这个配置,来选择禁用的 TLS 版本,不过不确定禁用之后是不是会有兼容性问题。而且既然是 Golang 默认的行为,可能主要是出于兼容性的考虑,在大部分场景下应该都是可以接受的。
另外你上面列了 7000-7003 四个端口,7000 可以理解是 frp 自身使用的。剩下三个端口你应该也不是全是 vhost_https_port,可能是直接 tcp 端口转发,那这个 TLS 配置,可能就是你内网自身服务的 TLS 版本,这个是没法在 frp 这个层面修改的。
Issues go stale after 21d of inactivity. Stale issues rot after an additional 7d of inactivity and eventually close.
![github-actions[bot] avatar](https://avatars.githubusercontent.com/in/15368?v=4 "Published by a pub.dev verified publisher"){kind=small}