Пожалуйста, предоставьте исправление для Как я могу исправить / обойти уязвимость SSLv3 POODLE (CVE-2014-3566)? для Tomcat.
Я попробовал следующую ссылку ниже, однако это не помогает: архивы рассылки tomcat-users
Пожалуйста, предоставьте исправление для Как я могу исправить / обойти уязвимость SSLv3 POODLE (CVE-2014-3566)? для Tomcat.
Я попробовал следующую ссылку ниже, однако это не помогает: архивы рассылки tomcat-users
Ответы:
Добавьте приведенную ниже строку в файл server.xml
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
а затем удалить
sslProtocols="TLS"
проверить
sslEnabledProtocols
и на этой странице нет упоминаний sslProtocols
. Это неточность в документах Tomcat или это зависит от JVM?
С помощью
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
не работает для нас. Мы должны были использовать
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
и sslEnabledProtocols
совсем не учел.
sslProtocol
(единственное) вместо sslProtocols
(множественное число)? Документы Tomcat говорятsslProtocol
, нет sslProtocols
.
sslProtocols
у меня работает и на Tomcat 6. Мне кажется странным, что в документации упоминаются только sslProtocol
(нет).
Все более современные браузеры Note работают как минимум с TLS1 . Больше нет безопасных протоколов SSL, что означает отсутствие доступа IE6 к защищенным веб-сайтам.
Протестируйте свой сервер на эту уязвимость с помощью nmap за несколько секунд:
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
Если ssl-enum-ciphers перечисляет раздел «SSLv3:» или любые другие разделы SSL, ваш сервер уязвим.
Чтобы исправить эту уязвимость на веб-сервере Tomcat 7, в server.xml
соединителе удалите
sslProtocols="TLS"
(или sslProtocol="SSL"
аналогичный) и замените его следующим:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
Затем перезапустите tomcat и повторите тестирование, чтобы убедиться, что SSL больше не принимается. Спасибо Коннору Реллину за правильную sslEnabledProtocols
строку.
Для Tomcat 6, в дополнение к вышесказанному, нам также пришлось сделать следующее:
В server.xml
разъем добавьте:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"