Podaj poprawkę dotyczącą sposobu naprawy / obejścia luki w zabezpieczeniach SSLv3 POODLE (CVE-2014-3566)? dla Tomcat.
Próbowałem użyć poniższego linku, ale to nie pomaga: archiwa list dyskusyjnych użytkowników tomcat-users
Podaj poprawkę dotyczącą sposobu naprawy / obejścia luki w zabezpieczeniach SSLv3 POODLE (CVE-2014-3566)? dla Tomcat.
Próbowałem użyć poniższego linku, ale to nie pomaga: archiwa list dyskusyjnych użytkowników tomcat-users
Odpowiedzi:
Dodaj poniższy ciąg do programu server.xml connecter
a następnie usuń
sprawdzić
http://poodlebleed.com/
https://www.ssllabs.com/ssltest/
źródło
sslEnabledProtocols
i nie ma wzmianki na tej stroniesslProtocols
. Czy jest to niedokładność w dokumentach Tomcat, czy jest to zależne od JVM?Za pomocą
nie działało dla nas. Musieliśmy użyć
i
sslEnabledProtocols
całkowicie pominęli.źródło
sslProtocol
(liczba pojedyncza) zamiastsslProtocols
(liczba mnoga)? Dokumenty Tomcat mówiąsslProtocol
, że niesslProtocols
.sslProtocols
działa również dla mnie na Tomcat 6. Wydaje mi się dziwne, że dokumentacja tylko wspominasslProtocol
(nie ma).Wszystkie bardziej nowoczesne przeglądarki notatek działają z co najmniej TLS1 . Nie ma już bezpiecznych protokołów SSL, co oznacza brak dostępu IE6 do bezpiecznych stron internetowych.
Przetestuj swój serwer pod kątem tej podatności za pomocą nmap w kilka sekund:
Jeśli ssl-enum-ciphers wymienia sekcję „SSLv3:” lub dowolną inną sekcję SSL, twój serwer jest podatny na atak.
Aby naprawić tę lukę na serwerze internetowym Tomcat 7
server.xml
, usuń złącze(lub
sslProtocol="SSL"
podobny) i zastąp go:Następnie uruchom ponownie tomcat i przetestuj ponownie, aby sprawdzić, czy SSL nie jest już akceptowany. Dzięki Connor Relleen za prawidłowy
sslEnabledProtocols
ciąg.źródło
W przypadku Tomcat 6 oprócz powyższego musieliśmy również wykonać następujące czynności:
W
server.xml
złączu dodaj:Źródło: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix
źródło