如何在tomcat中禁用SSLv3?

8

请提供有关如何修补/解决SSLv3 POODLE漏洞(CVE-2014-3566)的修补程序?对于Tomcat。

我尝试了以下链接,但是它没有帮助:tomcat-users邮件列表档案

security  ssl  tomcat7 
康纳·雷莱恩
source
1
请注意,这里的真正答案将取决于Tomcat的版本:Tomcat 6和Tomcat 7具有不同的配置指令。Tomcat 6在6.0.32左右添加了一些特定的SSL指令。配置指令取决于您是否使用JSSE和APR / Native连接器。参数中指定的TLS支持取决于您的Java版本。
Stefan Lasiewski 2014年
斯特凡Lasiewski

Answers:

7

将以下字符串添加到server.xml连接器

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

然后删除 

sslProtocols="TLS"

检查

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

康纳·雷莱恩
source
这不适用于Tomcat6。
Stefan Lasiewski 2014年
这些是Tomcat 7的说明。对于6,请转到此页面并搜索“ TLS”:tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html或在下面查看Marco Polo的答案。
GlenPeterson 2014年
1
嗯,Tomcat 6文档说它支持,sslEnabledProtocols并且在该页面上没有提及sslProtocols。这是Tomcat文档中的不准确性吗?还是JVM依赖?
布拉德利
@Bradley Tomcat 6在Tomcat 6.0.36之后的某个地方更改了这些指令。请在serverfault.com/a/637666/36178
Stefan Lasiewski 2014年
2

使用

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

没有为我们工作。我们不得不使用

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

sslEnabledProtocols完全排除在外。

马可波罗
source
什么版本的Tomcat?
GlenPeterson 2014年
在tomcat 6上经过测试和确认
。– RobinCominotto
那是错字吗?您是说sslProtocol(单数)而不是sslProtocols(复数)?在Tomcat的文档说sslProtocol,没有sslProtocols
Stefan Lasiewski 2014年
好吧,sslProtocols在Tomcat 6上也对我有用。我发现文档仅提及sslProtocol(no),这很奇怪。
Stefan Lasiewski 2014年
2

所有更现代的note浏览器都至少使用TLS1。不再有安全的SSL协议,这意味着不再有IE6访问安全的网站。

在几秒钟内用nmap测试服务器是否存在此漏洞

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

如果ssl-enum-ciphers列出了“ SSLv3:”部分或任何其他SSL部分,则您的服务器容易受到攻击。

要在Tomcat 7 Web服务器上修补此漏洞,请在server.xml连接器中,删除

sslProtocols="TLS"

(或sslProtocol="SSL"类似)并替换为:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

然后重新启动tomcat并再次测试以确认不再接受SSL。感谢Connor Relleen提供了正确的sslEnabledProtocols字符串。

格伦·彼得森
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.