Proporcione la solución para ¿Cómo parcheo / soluciono la vulnerabilidad de POODLE SSLv3 (CVE-2014-3566)? para Tomcat
He intentado seguir el siguiente enlace, sin embargo, no ayuda: archivos de la lista de correo de usuarios tomcat
Proporcione la solución para ¿Cómo parcheo / soluciono la vulnerabilidad de POODLE SSLv3 (CVE-2014-3566)? para Tomcat
He intentado seguir el siguiente enlace, sin embargo, no ayuda: archivos de la lista de correo de usuarios tomcat
Respuestas:
Agregue la siguiente cadena al conector server.xml
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
y luego quitar
sslProtocols="TLS"
comprobar en
sslEnabledProtocols
y no hay mención en esa página de sslProtocols
. ¿Es eso una inexactitud en los documentos de Tomcat o depende de JVM?
Utilizando
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
No funcionó para nosotros. Tuvimos que usar
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
y excluido por sslEnabledProtocols
completo.
sslProtocol
(singular) en lugar de sslProtocols
(plural)? Los documentos de Tomcat dicen quesslProtocol
no sslProtocols
.
sslProtocols
funciona para mí en Tomcat 6. Me resulta extraño que la documentación solo mencione sslProtocol
(no s).
Todos los navegadores de notas más modernos funcionan con al menos TLS1 . Ya no hay protocolos SSL seguros, lo que significa que no hay más acceso IE6 a sitios web seguros.
Pruebe su servidor para esta vulnerabilidad con nmap en unos segundos:
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
Si ssl-enum-ciphers incluye una sección "SSLv3:" o cualquier otra sección SSL, su servidor es vulnerable.
Para parchear esta vulnerabilidad en un servidor web Tomcat 7, en el server.xml
conector, elimine
sslProtocols="TLS"
(o sslProtocol="SSL"
similar) y reemplácelo con:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
Luego reinicie tomcat y pruebe nuevamente para verificar que SSL ya no sea aceptado. Gracias a Connor Relleen por la sslEnabledProtocols
cadena correcta .
Para Tomcat 6, además de lo anterior, también tuvimos que hacer lo siguiente:
En el server.xml
conector, agregue:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"