面板部署后默认端口10000被扫描到高危漏洞该如何处理?
导入了证书启用了HTTPS,端口被漏扫到高危漏洞
SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
面板是如何代理的?证书是怎么配置的?什么类型的证书?
未设置代理,证书是自签证书,在面板 SSL设置位置以粘贴KEY和PEM方式导入的。
证书是使用xca-portable自行创建CA证书签发的服务器证书,在其他系统使用均未出现过问题
使用什么软件测出来的呢?
企业漏扫平台扫到的,应该是绿盟V6
好的 我们看一下
我使用nmap工具本地扫描端口
扫描结果如下:
Starting Nmap 7.93 ( https://nmap.org ) at 2025-04-08 16:38 中国标准时间
NSOCK ERROR [0.0860s] ssl_init_helper(): OpenSSL legacy provider failed to load.
Nmap scan report for 11.0.70.230
Host is up (0.00088s latency).
PORT STATE SERVICE
10000/tcp open snet-sensor-mgmt
| ssl-enum-ciphers:
| TLSv1.2:
| ciphers:
| TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
| TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
| compressors:
| NULL
| cipher preference: server
| warnings:
| 64-bit block cipher 3DES vulnerable to SWEET32 attack
| TLSv1.3:
| ciphers:
| TLS_AKE_WITH_AES_128_GCM_SHA256 (ecdh_x25519) - A
| TLS_AKE_WITH_AES_256_GCM_SHA384 (ecdh_x25519) - A
| TLS_AKE_WITH_CHACHA20_POLY1305_SHA256 (ecdh_x25519) - A
| cipher preference: server
|_ least strength: C
Nmap done: 1 IP address (1 host up) scanned in 12.04 seconds
其中TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA (secp256r1) - C
这个启用了3DES,是否是这个弱加密算法导致了高危漏洞?
另外我测试发现,使用面板 SSL设置页面自带的自签名,使用nmap工具本地扫描就没有3DES这一行,而采用导入方式导入证书,似乎就会启用3DES,无论是选择上传的签名文件还是粘贴。
这个好像和操作系统无关,我重新部署新系统也会出现同样情况,是否与1panel面板某些配置有关系?
你可以换一个证书 比如 zerossl 签发的证书来试一下
我们后端没有特殊处理过证书算法等