Harap berikan perbaikan untuk Bagaimana cara menambal / mengatasi kerentanan POVLE SSLv3 (CVE-2014-3566)? untuk Tomcat.
Saya telah mencoba mengikuti tautan di bawah ini, tetapi itu tidak membantu: arsip milis tomcat-pengguna
Harap berikan perbaikan untuk Bagaimana cara menambal / mengatasi kerentanan POVLE SSLv3 (CVE-2014-3566)? untuk Tomcat.
Saya telah mencoba mengikuti tautan di bawah ini, tetapi itu tidak membantu: arsip milis tomcat-pengguna
Jawaban:
Tambahkan string di bawah ini ke connecter server.xml
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
dan kemudian hapus
sslProtocols="TLS"
periksa
sslEnabledProtocols
dan tidak disebutkan pada halaman sslProtocols
. Apakah itu ketidaktepatan dalam dokumentasi Tomcat atau apakah itu tergantung JVM?
Menggunakan
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
tidak bekerja untuk kita. Kami harus menggunakan
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
dan ditinggalkan sslEnabledProtocols
sama sekali.
sslProtocol
(tunggal) alih-alih sslProtocols
(jamak)? Dokumen Tomcat mengatakansslProtocol
, tidak sslProtocols
.
sslProtocols
bekerja untuk saya juga pada Tomcat 6. Saya merasa aneh bahwa dokumentasi hanya menyebutkan sslProtocol
(no s).
Semua peramban modern lainnya berfungsi dengan setidaknya TLS1 . Tidak ada protokol SSL aman lagi, yang berarti tidak ada lagi akses IE6 ke situs web aman.
Uji server Anda untuk kerentanan ini dengan nmap dalam beberapa detik:
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
Jika ssl-enum-cipher mencantumkan bagian "SSLv3:" atau bagian SSL lainnya, server Anda rentan.
Untuk menambal kerentanan ini pada server web Tomcat 7, pada server.xml
konektor, hapus
sslProtocols="TLS"
(atau sslProtocol="SSL"
serupa) dan ganti dengan:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
Kemudian mulai kembali kucing jantan dan uji lagi untuk memverifikasi bahwa SSL tidak lagi diterima. Terima kasih kepada Connor Relleen untuk sslEnabledProtocols
string yang benar .
Untuk Tomcat 6, selain yang di atas, kami juga harus melakukan yang berikut:
Pada server.xml
konektor, tambahkan:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"