Jak wyłączyć SSLv3 w tomcat?

8

Podaj poprawkę dotyczącą sposobu naprawy / obejścia luki w zabezpieczeniach SSLv3 POODLE (CVE-2014-3566)? dla Tomcat.

Próbowałem użyć poniższego linku, ale to nie pomaga: archiwa list dyskusyjnych użytkowników tomcat-users

Connor Relleen
źródło
1
Pamiętaj, że prawdziwa odpowiedź będzie zależeć od wersji Tomcat: Tomcat 6 i Tomcat 7 mają różne dyrektywy konfiguracyjne; a Tomcat 6 dodał pewne konkretne dyrektywy SSL gdzieś w okolicach 6.0.32. Dyrektywy konfiguracji zależą od tego, czy korzystasz z JSSE wersetów APR / łączników natywnych. Obsługa TLS określona w parametrach będzie zależeć od wersji Java.
Stefan Lasiewski
Zobacz także ServerFault: serverfault.com/questions/637649/…
Stefan Lasiewski

Odpowiedzi:

7

Dodaj poniższy ciąg do programu server.xml connecter

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

a następnie usuń

sslProtocols="TLS"

sprawdzić

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

Connor Relleen
źródło
To nie działa dla nas z Tomcat6.
Stefan Lasiewski
To są instrukcje Tomcat 7. W przypadku wersji 6 przejdź do tej strony i wyszukaj „TLS”: tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html lub sprawdź poniżej odpowiedź Marco Polo.
GlenPeterson
1
Hmm, ten dokument Tomcat 6 mówi, że obsługuje sslEnabledProtocolsi nie ma wzmianki na tej stronie sslProtocols. Czy jest to niedokładność w dokumentach Tomcat, czy jest to zależne od JVM?
Bradley
@Bradley Tomcat 6 zmienił te dyrektywy gdzieś po Tomcat 6.0.36. Zobacz naszą odpowiedź na ServerFault na serverfault.com/a/637666/36178
Stefan Lasiewski
2

Za pomocą

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

nie działało dla nas. Musieliśmy użyć

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

i sslEnabledProtocolscałkowicie pominęli.

Marco Polo
źródło
Jaka wersja Tomcat?
GlenPeterson
Testowane i potwierdzone na tomcat 6.
RobinCominotto
Czy to literówka? Miałeś na myśli sslProtocol(liczba pojedyncza) zamiast sslProtocols(liczba mnoga)? Dokumenty Tomcat mówiąsslProtocol , że nie sslProtocols.
Stefan Lasiewski
Cóż, sslProtocolsdziała również dla mnie na Tomcat 6. Wydaje mi się dziwne, że dokumentacja tylko wspomina sslProtocol(nie ma).
Stefan Lasiewski
2

Wszystkie bardziej nowoczesne przeglądarki notatek działają z co najmniej TLS1 . Nie ma już bezpiecznych protokołów SSL, co oznacza brak dostępu IE6 do bezpiecznych stron internetowych.

Przetestuj swój serwer pod kątem tej podatności za pomocą nmap w kilka sekund:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Jeśli ssl-enum-ciphers wymienia sekcję „SSLv3:” lub dowolną inną sekcję SSL, twój serwer jest podatny na atak.

Aby naprawić tę lukę na serwerze internetowym Tomcat 7 server.xml, usuń złącze

sslProtocols="TLS"

(lub sslProtocol="SSL"podobny) i zastąp go:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Następnie uruchom ponownie tomcat i przetestuj ponownie, aby sprawdzić, czy SSL nie jest już akceptowany. Dzięki Connor Relleen za prawidłowy sslEnabledProtocolsciąg.

GlenPeterson
źródło