Weblogic 升级后缓解 POODLE 漏洞并仍然使用 CBC 密码

Weblogic 升级后缓解 POODLE 漏洞并仍然使用 CBC 密码

我最近将我的 Weblogic 服务器升级到 10.3.6,并安装了 Java 7。因此,我通过 setEnv.sh 启用了 TLS1.0 - TLS 1.2。我使用以下一些密码来确保它们兼容(受 Weblogic、FF37、Chrome 44 等支持):

<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>

这是 config.xml 中的 ssl 标签。我也启用了 JSSE,以确保可以获得 TLS1.2 连接。

找到 Weblogic 10.3.6 支持的密码列表这里

我发现 SSL Labs 的一个问题是,使用这些密码,我仍然可能容易受到 POODLE 的攻击。

Nmap 扫描给了我以下密码:

| ssl-enum-ciphers:
|   SSLv3:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|     compressors:
|       NULL
|_  least strength: strong

在 setEnv.sh 中启用 TLS1.1 和 TLS1.2 之前,我没有遇到过这个问题,所以我不确定为什么添加它们会改变发生的情况。现在我的问题是如何确保我已禁用 SSL3 但仍然能够使用一些 CBC 密码?或者有我需要的支持?

编辑:我知道 CBC 密码不太好...我愿意接受有关支持 TLS1.0+ 的密码和低至 IE 8 的浏览器的建议。

答案1

只要确保你使用的 Java 版本高于 7u75(默认情况下会禁用它们),那么我认为仅启用 TLS1.0 会导致 SSLv3 降级,然后你可以使用 -Dweblogic.security.SSL.protocolVersion=TLS1 和 TLS1.1。你早就应该禁用 CBChttps://community.qualys.com/thread/9974。因此,您的要求可能会有冲突。

答案2

现在回答已经晚了,但可以作为将来的参考,如果您使用的是与 JDK7 兼容的 Weblogic 10.3.6。最近 Oracle 发布了 JDK 7u131 版本,该版本默认支持 TLS1.1 和 TLS1.2。因此您可以将 JDK 升级到 7u131。

相关内容