TomcatでSSLv3を無効にするにはどうすればよいですか?


8

SSLv3 POODLEの脆弱性にパッチを当てる/回避するにはどうすればよいですか(CVE-2014-3566)の修正を提供してくださいTomcatの場合。

以下のリンクを試してみましたが、役に立ちません:tomcat-users mailing list archives


1
ここでの実際の答えはTomcatのバージョンによって異なることに注意してください。Tomcat6とTomcat 7には異なる設定ディレクティブがあります。また、Tomcat 6では、6.0.32あたりに特定のSSLディレクティブが追加されました。構成ディレクティブは、JSSE対APR /ネイティブコネクタを使用しているかどうかによって異なります。パラメータで指定されたTLSのサポートは、Javaのバージョンによって異なります。
Stefan Lasiewski、2014年

またServerFaultのを参照してください。serverfault.com/questions/637649/...
ステファンLasiewski

回答:


7

以下の文字列をserver.xmlコネクタに追加します

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

次に削除します

sslProtocols="TLS"

チェックする

http://poodlebleed.com/
https://www.ssllabs.com/ssltest/


これは、Tomcat6では機能しません。
Stefan Lasiewski、2014年

これらはTomcat 7の手順です。6の場合は、このページにアクセスして「TLS」を検索します:tomcat.apache.org/tomcat-6.0-doc/ssl-howto.htmlまたは以下のMarco Poloの回答を確認してください。
GlenPeterson 2014年

1
うーん、Tomcat 6のドキュメントはサポートsslEnabledProtocolsしていると言っており、そのページには言及がありませんsslProtocols。それはTomcatドキュメントの不正確ですか、それともJVM依存ですか?
Bradley

@Bradley Tomcat 6では、Tomcat 6.0.36以降のどこかでこれらのディレクティブを変更しました。でServerFaultの上の私たちの答えを参照してくださいserverfault.com/a/637666/36178
ステファンLasiewski

2

使用する

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2" 

私たちのために機能しませんでした。私たちは使用しなければなりませんでした

sslProtocols="TLSv1, TLSv1.1, TLSv1.2"

sslEnabledProtocols完全に除外しました。


Tomcatのバージョンは何ですか?
GlenPeterson 2014年

Tomcat 6でテストおよび確認済み
RobinCominotto 2014年

それはタイプミスですか?もしかしてsslProtocol(単数)の代わりに、sslProtocols(複数の)?Tomcatのドキュメントは言うsslProtocol、ではありませんsslProtocols
Stefan Lasiewski、2014年

まあ、sslProtocolsTomcat 6でも同じように機能します。ドキュメントに言及しているだけでは不思議ですsslProtocol(s はありません)。
Stefan Lasiewski、2014年

2

最近の注目のブラウザはすべて、少なくともTLS1で動作します。安全なSSLプロトコルはもうありません。つまり、安全なWebサイトへのIE6アクセスはありません。

数秒でnmapを使用してサーバーのこの脆弱性をテストします

nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com

ssl-enum-ciphersが「SSLv3:」セクションまたはその他のSSLセクションをリストしている場合、サーバーは脆弱です。

Tomcat 7 Webサーバーのこの脆弱性にパッチを適用するには、server.xmlコネクタで、

sslProtocols="TLS"

(またはsslProtocol="SSL"類似のもの)に置き換えてください:

sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"

その後、tomcatを再起動してもう一度テストし、SSLが受け入れられなくなったことを確認します。正しいsslEnabledProtocols文字列を提供してくれたConnor Relleenに感謝します。


弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.