Bagaimana cara menonaktifkan SSLv3 di kucing jantan?

8

Harap berikan perbaikan untuk Bagaimana cara menambal / mengatasi kerentanan POVLE SSLv3 (CVE-2014-3566)? untuk Tomcat.

Saya telah mencoba mengikuti tautan di bawah ini, tetapi itu tidak membantu: arsip milis tomcat-pengguna

Connor Relleen
sumber
1
Perhatikan bahwa jawaban sebenarnya di sini akan tergantung pada versi Tomcat: Tomcat 6 & Tomcat 7 memiliki arahan konfigurasi yang berbeda; dan Tomcat 6 menambahkan beberapa arahan SSL spesifik sekitar 6.0.32. Arahan konfigurasi bergantung pada jika Anda menggunakan konektor JSR ayat APR / Asli. TLS yang didukung yang ditentukan dalam parameter akan tergantung pada versi Java Anda.
Stefan Lasiewski
Juga lihat ServerFault: serverfault.com/questions/637649/…
Stefan Lasiewski

Jawaban:

7

Tambahkan string di bawah ini ke connecter server.xml

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

dan kemudian hapus

sslProtocols="TLS"

periksa

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/

Connor Relleen
sumber
Ini tidak berfungsi untuk kita dengan Tomcat6.
Stefan Lasiewski
Ini adalah instruksi Tomcat 7. Untuk 6, buka halaman ini dan cari "TLS": tomcat.apache.org/tomcat-6.0-doc/ssl-howto.html atau periksa jawaban Marco Polo di bawah ini.
GlenPeterson
1
Hmm, itu Tomcat 6 doc mengatakan mendukung sslEnabledProtocolsdan tidak disebutkan pada halaman sslProtocols. Apakah itu ketidaktepatan dalam dokumentasi Tomcat atau apakah itu tergantung JVM?
Bradley
@Bradley Tomcat 6 mengubah arahan ini di suatu tempat setelah Tomcat 6.0.36. Lihat jawaban kami di ServerFault di serverfault.com/a/637666/36178
Stefan Lasiewski
2

Menggunakan

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

tidak bekerja untuk kita. Kami harus menggunakan

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

dan ditinggalkan sslEnabledProtocolssama sekali.

Marco Polo
sumber
Tomcat versi apa?
GlenPeterson
Diuji dan dikonfirmasi pada kucing
jagoan
Apakah itu salah cetak? Apakah maksud Anda sslProtocol(tunggal) alih-alih sslProtocols(jamak)? Dokumen Tomcat mengatakansslProtocol , tidak sslProtocols.
Stefan Lasiewski
Yah, sslProtocolsbekerja untuk saya juga pada Tomcat 6. Saya merasa aneh bahwa dokumentasi hanya menyebutkan sslProtocol(no s).
Stefan Lasiewski
2

Semua peramban modern lainnya berfungsi dengan setidaknya TLS1 . Tidak ada protokol SSL aman lagi, yang berarti tidak ada lagi akses IE6 ke situs web aman.

Uji server Anda untuk kerentanan ini dengan nmap dalam beberapa detik:

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

Jika ssl-enum-cipher mencantumkan bagian "SSLv3:" atau bagian SSL lainnya, server Anda rentan.

Untuk menambal kerentanan ini pada server web Tomcat 7, pada server.xmlkonektor, hapus

sslProtocols="TLS"

(atau sslProtocol="SSL"serupa) dan ganti dengan:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

Kemudian mulai kembali kucing jantan dan uji lagi untuk memverifikasi bahwa SSL tidak lagi diterima. Terima kasih kepada Connor Relleen untuk sslEnabledProtocolsstring yang benar .

GlenPeterson
sumber