SSLv3 POODLE脆弱性(CVE patch-2014-3566)にパッチを当てる/回避するにはどうすればよいですか? Tomcatの修正を提供してください。
以下のリンクを試してみましたが、役に立ちません: Tomcat-users mailing list archives
以下の文字列をserver.xmlコネクタに追加します
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
その後、削除します
sslProtocols="TLS"
確認する
ノートの最新のブラウザはすべて、少なくともTLS1で動作します 。安全なSSLプロトコルはもうありません。つまり、安全なWebサイトへのIE6アクセスはもうありません。
nmapでこの脆弱性についてサーバーをテストします 数秒で:
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
Ssl-enum-ciphersに「SSLv3:」セクションまたはその他のSSLセクションがリストされている場合、サーバーは脆弱です。
Tomcat 7 Webサーバーでこの脆弱性にパッチを当てるには、server.xml
コネクタで、削除します
sslProtocols="TLS"
(またはsslProtocol="SSL"
または同様)で置き換えてください:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
次に、Tomcatを再起動して再度テストし、SSLが受け入れられなくなったことを確認します。正しいsslEnabledProtocols
文字列を提供してくれたConnor Relleenに感謝します。
を使用して
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
私たちにとってはうまくいきませんでした。使用しなければなりませんでした
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
sslEnabledProtocols
を完全に省きました。
Tomcat 6では、上記に加えて、次のことも行う必要がありました。
server.xml
コネクタで、次を追加します。
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"