一、问题背景
1.使用漏洞扫描工具扫描SSLVPN（M7.6.8 R2）的https 443和8118端口存在SSL/TLS协议信息泄露漏洞(CVE-2016-2183)漏洞，漏洞名称叫法较多，如SSL 64-bit Block Size Cipher Suites Supported (SWEET32)或者叫 存在64位块分组密码组件支持(SWEET32)漏洞或者叫 SSL Medium Strength Cipher Suites Supported或者叫 SSL 64-bit Block Size Cipher Suites Supported (SWEET32)或者叫 存在64位块分组密码组件支持(SWEET32)漏洞，漏洞编号：CVE-2016-6329 CVE-2016-2183建议重新配置或禁用受影响应用程序对64位块密码组件的支持或者叫支持SSL中等强度密码套件或者叫 ssl支持中等加密算法或者叫 SSL/TLS协议信息泄露漏洞(CVE-2016-2183)      2.扩展到高版本，修复页面中开启sweet32不生效问题；二、处理过程【补丁包MD5值】      77806e1073cbc7a67871025b6597e2ad【打包是否拆集群】      是【是否需要重启设备】      否【需要重启哪些服务】      sagnfor-svpn【对客户业务影响】   重启了svpn服务，但老版本svpn附带重启了很多其他服务，会影响用户业务，请知晓【升级方法】      打包步骤：1、使用升级客户端加载ssu升级包升级（补丁包在网盘或向400同事获取，集群先升级分发器，高版本有sweet32防护勾选项打完包同时也需要勾选）2018251【回退方案】   如果升级后出现异常可如下操作回滚：   1、执行cd /hislog/cti-support/[此问题对应的td号]   例如：td包：20190109_CTI-Support_M7.6.3_TD45172.ssu                   对应的回滚目录：/hislog/cti-support/TD45172                   需要执行: cd /hislog/cti-support/TD45172   2、执行 ./ssl-support.sh -roll三、注意事项
1、6.9以及之后版本都会使用DES-CBC3-SHA套件，该套件是为了兼容低版本浏览器而保留的，更新补丁会导致IE6 IE7 和 xp系统无法连接SSLVPN。打包前请和客户确认   2、升级后会重启vpn服务，不会重启设备，客户端不会更新插件   3、集群环境需要拆开集群，保证每台设备打完补丁包之后，在加入集群   4、双机环境需要拆开双机打，打完之后在加入双机5、不支持集群、双机环境回滚，需拆集群单台设备分别回滚
ie5000 发表于 2023-11-28 12:43

多谢楼主分享，有助于工作

发表于 2023-12-6 09:11

非常好，有助于工作，非常感谢！！！

新手719320 发表于 2023-12-20 21:26

每天学习亿点点！！！！！
新手626351 发表于 2023-12-21 08:54

感谢分享，有助于学习！！！

新手378833 发表于 2024-1-10 08:53

感谢分享有助于工资和学习！

新手626351 发表于 2024-2-1 09:02

感谢分享有助于工资和学习！

新手378833 发表于 2024-2-20 09:16

多谢楼主分享，有助于工作

新手626351 发表于 2024-2-28 16:59

感谢楼主分享，学习一下

新手378833 发表于 2024-3-9 10:23

感谢大佬分享，收获很多