Пожалуйста, предоставьте исправление для Как мне исправить / обойти уязвимость SSLv3 POODLE (CVE-2014-3566)? для Tomcat.
Я попробовал перейти по приведенной ниже ссылке, однако она не помогает: архивы списков рассылки tomcat-users
Используя
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
не работал на нас. Мы должны были использовать
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
и не учли sslEnabledProtocols
в целом.
Все более современные браузеры примечания работают, по крайней мере, с TLS1. Больше нет никаких безопасных протоколов SSL, что не означает больше доступа IE6 защищать веб-сайты.
Тест Ваш сервер для этой уязвимости с nmap за несколько секунд:
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
, Если ssl-enum-ciphers перечисляет "SSLv3": раздел или любые другие разделы SSL, Ваш сервер уязвим.
Для исправления этой уязвимости на веб-сервере Tomcat 7, в server.xml
коннектор, удаляют
sslProtocols="TLS"
(или sslProtocol="SSL"
или подобный) и заменяют его:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
Тогда кот перезапуска и тест снова, чтобы проверить, что SSL больше не принимается. Благодаря Connor Relleen для корректного sslEnabledProtocols
строка.
Для Tomcat 6, в дополнение к вышеупомянутому, мы также должны были сделать следующее:
В server.xml
коннектор, добавьте:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"
Добавьте ниже строки к соединителю server.xml
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
и затем удалите
sslProtocols="TLS"
, начинают работу