Bagaimana cara menonaktifkan SSLv3 di kucing jantan?

8

Harap berikan perbaikan untuk Bagaimana cara menambal / mengatasi kerentanan POVLE SSLv3 (CVE-2014-3566)? untuk Tomcat.

Saya telah mencoba mengikuti tautan di bawah ini, tetapi itu tidak membantu: arsip milis tomcat-pengguna

security ssl tomcat7

— Connor Relleen
sumber

1

Perhatikan bahwa jawaban sebenarnya di sini akan tergantung pada versi Tomcat: Tomcat 6 & Tomcat 7 memiliki arahan konfigurasi yang berbeda; dan Tomcat 6 menambahkan beberapa arahan SSL spesifik sekitar 6.0.32. Arahan konfigurasi bergantung pada jika Anda menggunakan konektor JSR ayat APR / Asli. TLS yang didukung yang ditentukan dalam parameter akan tergantung pada versi Java Anda.

— Stefan Lasiewski

Juga lihat ServerFault: serverfault.com/questions/637649/…

— Stefan Lasiewski

7

Tambahkan string di bawah ini ke connecter server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

dan kemudian hapus

sslProtocols="TLS"

periksa

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

— Connor Relleen
sumber

Ini tidak berfungsi untuk kita dengan Tomcat6.

— Stefan Lasiewski

Ini adalah instruksi Tomcat 7. Untuk 6, buka halaman ini dan cari "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html atau periksa jawaban Marco Polo di bawah ini.

— GlenPeterson

1

Hmm, itu Tomcat 6 doc mengatakan mendukung sslEnabledProtocolsdan tidak disebutkan pada halaman sslProtocols. Apakah itu ketidaktepatan dalam dokumentasi Tomcat atau apakah itu tergantung JVM?

— Bradley

@Bradley Tomcat 6 mengubah arahan ini di suatu tempat setelah Tomcat 6.0.36. Lihat jawaban kami di ServerFault di serverfault.com/a/637666/36178

— Stefan Lasiewski

2

Menggunakan

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

tidak bekerja untuk kita. Kami harus menggunakan

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

dan ditinggalkan sslEnabledProtocolssama sekali.

— Marco Polo
sumber

Tomcat versi apa?

— GlenPeterson

Diuji dan dikonfirmasi pada kucing

— jagoan

Apakah itu salah cetak? Apakah maksud Anda sslProtocol(tunggal) alih-alih sslProtocols(jamak)? Dokumen Tomcat mengatakansslProtocol , tidak sslProtocols.

— Stefan Lasiewski

Yah, sslProtocolsbekerja untuk saya juga pada Tomcat 6. Saya merasa aneh bahwa dokumentasi hanya menyebutkan sslProtocol(no s).

— Stefan Lasiewski

2

Semua peramban modern lainnya berfungsi dengan setidaknya TLS1 . Tidak ada protokol SSL aman lagi, yang berarti tidak ada lagi akses IE6 ke situs web aman.

Uji server Anda untuk kerentanan ini dengan nmap dalam beberapa detik:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Jika ssl-enum-cipher mencantumkan bagian "SSLv3:" atau bagian SSL lainnya, server Anda rentan.

Untuk menambal kerentanan ini pada server web Tomcat 7, pada server.xmlkonektor, hapus

sslProtocols="TLS"

(atau sslProtocol="SSL"serupa) dan ganti dengan:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Kemudian mulai kembali kucing jantan dan uji lagi untuk memverifikasi bahwa SSL tidak lagi diterima. Terima kasih kepada Connor Relleen untuk sslEnabledProtocolsstring yang benar .

— GlenPeterson
sumber

0

Untuk Tomcat 6, selain yang di atas, kami juga harus melakukan yang berikut:

Pada server.xmlkonektor, tambahkan:

ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"

Sumber: https://forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix

— Yoliho
sumber