Veuillez fournir le correctif pour Comment corriger / contourner la vulnérabilité SSLv3 POODLE (CVE-2014-3566)? pour Tomcat.
J'ai essayé de suivre le lien ci-dessous, mais cela n'aide pas: archives de la liste de diffusion tomcat-users
Veuillez fournir le correctif pour Comment corriger / contourner la vulnérabilité SSLv3 POODLE (CVE-2014-3566)? pour Tomcat.
J'ai essayé de suivre le lien ci-dessous, mais cela n'aide pas: archives de la liste de diffusion tomcat-users
Réponses:
Ajoutez la chaîne ci-dessous au connecteur server.xml
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
puis supprimez
sslProtocols="TLS"
vérifier
sslEnabledProtocols
et il n'y a aucune mention sur cette page de sslProtocols
. Est-ce une inexactitude dans les documents Tomcat ou est-ce dépendant de la JVM?
En utilisant
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
n'a pas fonctionné pour nous. Nous devions utiliser
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
et laissé de côté le sslEnabledProtocols
tout.
sslProtocol
(singulier) au lieu de sslProtocols
(pluriel)? Les documents de Tomcat disent quesslProtocol
non sslProtocols
.
sslProtocols
ça marche aussi pour moi sur Tomcat 6. Je trouve étrange que la documentation ne mentionne que sslProtocol
(pas de s).
Tous les navigateurs de note plus modernes fonctionnent avec au moins TLS1 . Il n'y a plus de protocoles SSL sécurisés, ce qui signifie qu'il n'y a plus d'accès IE6 à des sites Web sécurisés.
Testez votre serveur pour cette vulnérabilité avec nmap en quelques secondes:
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
Si ssl-enum-ciphers répertorie une section "SSLv3:" ou toute autre section SSL, votre serveur est vulnérable.
Pour corriger cette vulnérabilité sur un serveur Web Tomcat 7, dans le server.xml
connecteur, supprimez
sslProtocols="TLS"
(ou sslProtocol="SSL"
similaire) et remplacez-le par:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
Redémarrez ensuite tomcat et testez à nouveau pour vérifier que SSL n'est plus accepté. Merci à Connor Relleen pour la sslEnabledProtocols
chaîne correcte .
Pour Tomcat 6, en plus de ce qui précède, nous avons également dû procéder comme suit:
Dans le server.xml
connecteur, ajoutez:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"