โปรดระบุการแก้ไขสำหรับฉันจะแก้ไขช่องโหว่ SSLv3 POODLE ได้อย่างไร (CVE-2014-3566) สำหรับ Tomcat
ฉันได้ลองลิงค์ด้านล่างนี้แล้ว แต่ก็ไม่ได้ช่วยอะไร: คลังเก็บรายชื่อผู้รับจดหมาย Tomcat-users
โปรดระบุการแก้ไขสำหรับฉันจะแก้ไขช่องโหว่ SSLv3 POODLE ได้อย่างไร (CVE-2014-3566) สำหรับ Tomcat
ฉันได้ลองลิงค์ด้านล่างนี้แล้ว แต่ก็ไม่ได้ช่วยอะไร: คลังเก็บรายชื่อผู้รับจดหมาย Tomcat-users
คำตอบ:
เพิ่มสตริงด้านล่างเพื่อเชื่อมต่อ server.xml
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
แล้วลบ
sslProtocols="TLS"
ตรวจสอบ
sslEnabledProtocols
sslProtocols
นั่นไม่ถูกต้องในเอกสาร Tomcat หรือ JVM ขึ้นอยู่กับมันหรือไม่?
การใช้
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
ไม่ได้ผลสำหรับเรา เราต้องใช้
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
และจากไปsslEnabledProtocols
โดยสิ้นเชิง
sslProtocol
(เอกพจน์) แทนที่จะเป็นsslProtocols
(พหูพจน์) ใช่ไหม เอกสาร Tomcat พูดsslProtocol
sslProtocols
ไม่ได้
sslProtocols
ทำงานได้ดีสำหรับฉันเช่นเดียวกับ Tomcat 6 ฉันคิดว่ามันแปลกที่เอกสารระบุเฉพาะsslProtocol
(ไม่มี)
ทุกเบราว์เซอร์ที่ทันสมัยมากขึ้นของการทำงานของโน้ตที่มีอย่างน้อยล TLS1 ไม่มีโปรโตคอล SSL ที่ปลอดภัยอีกต่อไปซึ่งหมายความว่าจะไม่มีการเข้าถึง IE6 ในเว็บไซต์ที่ปลอดภัยอีกต่อไป
ทดสอบเซิร์ฟเวอร์ของคุณเพื่อหาช่องโหว่นี้ด้วย nmapในไม่กี่วินาที:
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
หาก ssl-enum-ciphers แสดงส่วน "SSLv3:" หรือส่วน SSL อื่น ๆ เซิร์ฟเวอร์ของคุณจะมีช่องโหว่
ในการแก้ไขช่องโหว่นี้บนเว็บเซิร์ฟเวอร์ Tomcat 7 ในserver.xml
ตัวเชื่อมต่อให้ลบ
sslProtocols="TLS"
(หรือsslProtocol="SSL"
คล้ายกัน) และแทนที่ด้วย:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
จากนั้นรีสตาร์ท tomcat และทดสอบอีกครั้งเพื่อตรวจสอบว่า SSL ไม่ได้รับการยอมรับอีกต่อไป ขอบคุณ Connor Relleen สำหรับsslEnabledProtocols
สตริงที่ถูกต้อง
สำหรับ Tomcat 6 นอกเหนือจากข้างต้นเรายังต้องทำสิ่งต่อไปนี้:
ในserver.xml
ตัวเชื่อมต่อเพิ่ม:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"