SSLv3 POODLEの脆弱性にパッチを当てる/回避するにはどうすればよいですか(CVE-2014-3566)の修正を提供してください。Tomcatの場合。
以下のリンクを試してみましたが、役に立ちません:tomcat-users mailing list archives
SSLv3 POODLEの脆弱性にパッチを当てる/回避するにはどうすればよいですか(CVE-2014-3566)の修正を提供してください。Tomcatの場合。
以下のリンクを試してみましたが、役に立ちません:tomcat-users mailing list archives
回答:
以下の文字列をserver.xmlコネクタに追加します
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
次に削除します
sslProtocols="TLS"
チェックする
sslEnabledProtocols
していると言っており、そのページには言及がありませんsslProtocols
。それはTomcatドキュメントの不正確ですか、それともJVM依存ですか?
使用する
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
私たちのために機能しませんでした。私たちは使用しなければなりませんでした
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
sslEnabledProtocols
完全に除外しました。
sslProtocol
(単数)の代わりに、sslProtocols
(複数の)?Tomcatのドキュメントは言うsslProtocol
、ではありませんsslProtocols
。
sslProtocols
Tomcat 6でも同じように機能します。ドキュメントに言及しているだけでは不思議ですsslProtocol
(s はありません)。
最近の注目のブラウザはすべて、少なくともTLS1で動作します。安全なSSLプロトコルはもうありません。つまり、安全なWebサイトへのIE6アクセスはありません。
数秒でnmapを使用してサーバーのこの脆弱性をテストします。
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
ssl-enum-ciphersが「SSLv3:」セクションまたはその他のSSLセクションをリストしている場合、サーバーは脆弱です。
Tomcat 7 Webサーバーのこの脆弱性にパッチを適用するには、server.xml
コネクタで、
sslProtocols="TLS"
(またはsslProtocol="SSL"
類似のもの)に置き換えてください:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
その後、tomcatを再起動してもう一度テストし、SSLが受け入れられなくなったことを確認します。正しいsslEnabledProtocols
文字列を提供してくれたConnor Relleenに感謝します。
Tomcat 6では、上記に加えて、次のことも実行する必要がありました。
ではserver.xml
、コネクタ、追加します。
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"
ソース:https : //forums.openclinica.com/discussion/15696/firefox-39-new-ssl-cipher-security-setting-error-tomcat-6-fix