Veuillez fournir le correctif pour Comment puis-je corriger/résoudre la vulnérabilité SSLv3 POODLE (CVE-2014-3566)? pour Tomcat.
J'ai essayé de suivre le lien ci-dessous, mais cela n'aide pas: archives de la liste de diffusion Tomcat-users
Ajoutez la chaîne ci-dessous au serveur server.xml
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
puis retirez
sslProtocols="TLS"
vérifier
Tous les navigateurs de note plus modernes fonctionnent avec au moins TLS1 . Il n’existe plus de protocoles sécurisés SSL, ce qui signifie qu’il n’ya plus d’accès IE6 à des sites Web sécurisés.
Testez votre vulnérabilité avec nmap sur votre serveur dans quelques secondes:
nmap --script ssl-cert,ssl-enum-ciphers -p 443 www.example.com
Si ssl-enum-ciphers répertorie une section "SSLv3:" ou toute autre section SSL, votre serveur est vulnérable.
Pour corriger cette vulnérabilité sur un serveur Web Tomcat 7, dans le connecteur server.xml
, supprimez
sslProtocols="TLS"
(ou sslProtocol="SSL"
ou similaire) et remplacez-le par:
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
Puis redémarrez Tomcat et testez à nouveau pour vérifier que SSL n'est plus accepté. Merci à Connor Relleen pour la chaîne correcte sslEnabledProtocols
name__.
En utilisant
sslEnabledProtocols="TLSv1, TLSv1.1, TLSv1.2"
n'a pas fonctionné pour nous. Nous avons dû utiliser
sslProtocols="TLSv1, TLSv1.1, TLSv1.2"
et omis le sslEnabledProtocols
tout à fait.
Pour Tomcat 6, en plus de ce qui précède, nous devions également procéder comme suit:
Dans le connecteur server.xml
, ajoutez:
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA"