请提供修复如何修补/解决 SSLv3 POODLE 漏洞 (CVE-2014-3566)?对于 Tomcat。
我尝试过以下链接,但没有帮助:tomcat 用户邮件列表档案
答案1
将以下字符串添加到 server.xml 连接器
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
然后删除
sslProtocols="TLS"
检查
答案2
使用
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
对我们来说不起作用。我们不得不使用
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
并完全忽略了sslEnabledProtocols
。
答案3
所有较新的浏览器至少都支持 TLS1. 不再有安全的 SSL 协议,这意味着 IE6 无法再访问安全的网站。
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
如果 ssl-enum-ciphers 列出了“SSLv3:”部分或任何其他 SSL 部分,则您的服务器存在漏洞。
要在 Tomcat 7 Web 服务器上修补此漏洞,请在server.xml
连接器中删除
sslProtocols="TLS"
(或sslProtocol="SSL"
或类似)并将其替换为:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
然后重新启动 tomcat 并再次测试以验证 SSL 不再被接受。感谢 Connor Relleen 提供正确的sslEnabledProtocols
字符串。
答案4
对于 Tomcat 6,除了上述操作之外,我们还必须执行以下操作:
在server.xml
连接器中,添加:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"