Come disabilitare SSLv3 in Tomcat?

8

Fornisci la correzione per Come posso correggere / aggirare la vulnerabilità POODLE SSLv3 (CVE-2014-3566)? per Tomcat.

Ho provato a seguire il link seguente, tuttavia non aiuta: gli archivi di mailing list di tomcat-users

security  ssl  tomcat7 
Connor Relleen
fonte
1
Nota che la vera risposta qui dipenderà dalla versione di Tomcat: Tomcat 6 e Tomcat 7 hanno direttive di configurazione diverse; e Tomcat 6 ha aggiunto alcune direttive SSL specifiche da qualche parte intorno alla 6.0.32. Le direttive di configurazione dipendono dal fatto che si stiano usando connettori JSSE o APR / Native. Il supporto di TLS specificato nei parametri dipenderà dalla versione Java.
Stefan Lasiewski,
Vedi anche ServerFault: serverfault.com/questions/637649/…
Stefan Lasiewski,

Risposte:

7

Aggiungi la stringa seguente al connettore server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

e quindi rimuovere 

sslProtocols="TLS"

controllare

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

Connor Relleen
fonte
Questo non funziona per noi con Tomcat6.
Stefan Lasiewski,
Queste sono le istruzioni Tomcat 7. Per 6, vai a questa pagina e cerca "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html o controlla la risposta di Marco Polo di seguito.
GlenPeterson,
1
Hmm, quel documento Tomcat 6 dice che supporta sslEnabledProtocolse non c'è menzione in quella pagina di sslProtocols. È un'inesattezza nei documenti Tomcat o dipende dalla JVM?
Bradley,
@Bradley Tomcat 6 ha modificato queste direttive da qualche parte dopo Tomcat 6.0.36. Vedi la nostra risposta su ServerFault su serverfault.com/a/637666/36178
Stefan Lasiewski,
2

utilizzando

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

non ha funzionato per noi. Abbiamo dovuto usare

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

e lasciato fuori del sslEnabledProtocolstutto.

Marco Polo
fonte
Quale versione di Tomcat?
GlenPeterson,
Testato e confermato su Tomcat 6.
RobinCominotto
È un errore di battitura? Intendi dire sslProtocol(singolare) anziché sslProtocols(plurale)? I documenti di Tomcat dicono disslProtocol no sslProtocols.
Stefan Lasiewski,
Bene, sslProtocolsfunziona anche per me su Tomcat 6. Trovo strano che la documentazione menzioni solo sslProtocol(no).
Stefan Lasiewski,
2

Tutti i browser più moderni funzionano con almeno TLS1 . Non ci sono più protocolli SSL sicuri, il che significa che non c'è più accesso IE6 a siti Web sicuri.

Prova il tuo server per questa vulnerabilità con nmap in pochi secondi:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Se ssl-enum-ciphers elenca una sezione "SSLv3:" o qualsiasi altra sezione SSL, il tuo server è vulnerabile.

Per correggere questa vulnerabilità su un server Web Tomcat 7, nel server.xmlconnettore, rimuovere

sslProtocols="TLS"

(o sslProtocol="SSL"simili) e sostituiscilo con:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Quindi riavviare tomcat e testarlo nuovamente per verificare che SSL non sia più accettato. Grazie a Connor Relleen per la sslEnabledProtocolsstringa corretta .

GlenPeterson
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.