解决tomcat关于SSL的漏

最新推荐文章于 2024-06-03 15:39:32 发布
最新推荐文章于 2024-06-03 15:39:32 发布
阅读量1.1w 收藏 8
点赞数 1
分类专栏: 安全相关 文章标签: tomcat nessus 漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaowen_10/article/details/52053346
版权

1、原由

最近使用nessus扫描一款Web服务软件,发现了四个漏洞,如下:

SSL Version 2 and 3 Protocol detection 

SSLv3 Padding Oracle On Downgrade Legacy Encryption Vulnerability(POODLE)

SSL Weak Cipher Suites Supports

SSL/TLS EXPORT_RAS<512-bit Cipher Suites Supported(FREAD)

2、漏洞分析

对每个显示的漏洞点击进去后,发现产生漏洞的端口号:8843
        使用以下命令查找得到进程名:
netstat -ano | findstr "8843"    #得到进程的PID
tasklist | findstr “PID"              #得到进程名
确认问题是因为Tomcat引起的漏洞。

3、解决方案

经过查找tomcat配置ssl协议,得知需要配置tomcat/conf/server.xml文件,里面与SSL协议相关的部分如下:
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocol="TLS" 
               keystoreFile="conf/tomcat.keystore" keystorePass="123456"
               truststoreFile="conf/tomcat.keystore" truststorePass="123456"/>
上面显示已经将当前的tomcat使用的是TLS协议,但是一直不生效, 经过同事的帮助,发现了下面的一段话:

rmeisen:The answers will vary depending on your Tomcat and Java versions, and if you are usingJSSE verses AJP. The differences are assubtle  as 

sslProtocols=TLSv1 verses sslProtocol="TLS" (Notice that s). 

Specifying your Tomcat &Java versions will save you from insanity.

于是将配置修改如下:
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocols="TLSv1"
               keystoreFile="conf/tomcat.keystore" keystorePass="123456"
               truststoreFile="conf/tomcat.keystore" truststorePass="123456"/>
再次扫描,发现漏洞:
SSL Version 2 and 3 Protocol detection 、
SSLv3 Padding Oracle On Downgrade Legacy Encryption Vulnerability(POODLE) 已经 解决。

继续做如下修改:
    <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true"
               maxThreads="150" scheme="https" secure="true"
               clientAuth="true" sslProtocols="TLSv1"
               ciphers="TLS_RSA_WITH_AES_128_CBC_SHA, TLS_DHE_RSA_WITH_AES_128_CBC_SHA,                                             TLS_DHE_DSS_WITH_AES_128_CBC_SHA"
               keystoreFile="conf/tomcat.keystore" keystorePass="123456"
               truststoreFile="conf/tomcat.keystore" truststorePass="123456"/>
剩下的两个漏洞也消失啦。
以后修改配置的时候,一定要注意不同版本的tomcat及jdk的配置之前的差异。


引用相关链接:http://serverfault.com/questions/637649/how-do-i-disable-sslv3-support-in-apache-tomcat
xiaowen_10
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSL Version 3 and 2 and TLS Version 1.1 and TLS Version 1.0 Protocol Detection
weixin_40133285的博客
04-26 7908
SSL Version 2 and 3 Protocol Detection and TLS Version 1.1 Protocol Deprecated and TLS Version 1.0 Protocol Detection 操作系统版本:Windows Server 2012 R2 前言:若原有使用TLS1.2版本,则注册表修改后即可生效,若原有未使用TLS1.2版本但封禁了可使用的SSL/TLS版本,则会导致SSL/TLS连接无法建立,重启后方生效。 The remote service ac
Tomcat 开启HTTPS 后爆发SSL相关漏洞解决方法
weixin_33924312的博客
05-13 1014
最近用绿盟扫描系统进行全网系统扫描,有几台设备被扫出了SSL相关漏洞,在此做一个简短的笔记。本次涉及漏洞1.漏洞名称:SSL 3.0 POODLE***信息泄露漏洞(CVE-2014-3566)【原理扫描】2.SSL/TLS 受诫礼(BAR-MITZVAH)***漏洞(CVE-2015-2808)【原理扫描】知识普及1:SSL协议要点SSL(Secure Sockets La...
tomcat系列漏洞利用
最新发布
2401_84488537的博客
06-03 1337
Tomcat 服务器是一个开源的轻量级Web应用服务器,在中小型系统和并发量小的场合下被普遍使用。主要组件:服务器Server,服务Service,连接器Connector、容器Container。连接器Connector和容器Container是Tomcat的核心。一个Container容器和一个或多个Connector组合在一起,加上其他一些支持的组件共同组成一个Service服务,有了Service服务便可以对外提供能力了。
sslv3 poodle漏洞 检测解决方法
luminous_you的博客
03-21 2875
漏洞详情 POODLE(Padding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影响了使用最广泛的加密标准——SSLv3.0,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。目前我们要通过禁用SSLv3去修复此漏洞。 检测方法 在线网站检测 https://www.ssleye.com/ssltool/poodle.html ht
tomcat扫修复及调优
a120717的博客
06-30 5033
环境 Centos7 8G tomcat7 nessus扫修复 12085 - Apache Tomcat Servlet / JSP Container Default Files 删除tomcat/webapps/下example、doc、manager,(ROOT保留,内部只留下自定义的404页面) 35291 - SSL Certificate Signed...
java生成SSL证书并添加信任,tomcat配置https访问并解决扫描漏洞问题
mr__bai的博客
12-27 7669
Keytool 是一个 Java 数据证书的管理工具 ,Keytool 将密钥(key)和证书(certificates)存储于一个称为 keystore 的密钥库文件中。
POODLE Vulnerability: Padding Oracle on Downgraded Legacy Encryption
翟海飞
08-04 2261
INTRODUCTION POODLE abbreviates to Padding Oracle On Downgraded Legacy Encryption. This vulnerability was discovered by Bodo Möller, Thai Duong & Krzysztof Kotowicz from the GOOGLE
解决tomcat配置ssl错误的解决办法
05-29
解决 Tomcat 配置 SSL 错误的解决办法 在 Tomcat 服务器中配置 SSL 加密连接是非常重要的,然而在 Tomcat 6.0.33 版本中,默认启用了 APR(APR 是通过 JNI 访问的可移植库,可以提高 Tomcat 的性能和伸缩性),这...
Tomcat配置SSL指导
11-16
Tomcat配置SSL指导:1 生成Server端安全证书;2 添加Server端安全证书;3 配置需要强制使用SSL的目录或文件;
Tomcat配置SSL证书的方法
09-30
主要介绍了Tomcat配置SSL证书的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于tomcatssl配置
11-08
Tomcat SSL 配置详解 Tomcat 是一个流行的 Web 服务器软件,它支持 SSL/TLS 加密协议,以确保数据传输的安全性。在本文中,我们将详细介绍 TomcatSSL 配置步骤和过程。 一、生成密钥对 在 Tomcat 中,需要...
SSL/TLS协议详解以及配置实战
swadian2008的博客
04-17 9253
SSL/TLS协议是一种安全通信协议,用于在计算机网络上保护数据传输的机密性、完整性和身份验证。SSL代表安全套接字层(Secure Socket Layer)TLS代表传输层安全性(Transport Layer Security),它是SSL的继任者。// 实际上还是非对称加密的算法客户端发送一个SSL/TLS连接请求到服务器。服务器发送一个数字证书给客户端。数字证书包含服务器的公钥和其他信息。客户端验证数字证书,以确保证书来自可信的证书颁发机构,没有被篡改。
Weak SSL VersionSSL Weak Cipher Suites Supported
zenglingmin8的博客
05-28 1931
漏洞扫描结果: Severity:Medium Vulnerability:Weak SSL Version (SSLv2, SSL v3, TLS v1.0 and TLS v1.1)、SSL Weak Cipher Suites Supported 这个漏洞的原因就是ssl版本太低。 检查了自己架构之后,发现问题出在nginx上,于是对nginx的ssl版本进行调整。针对不同版本的nginx的ssl配置,参考: https://ssl-config.mozilla.org/#server=nginx&a
SSL/TLS 受诫礼攻击漏洞的问题的解决记录
热门推荐
第一行代码
10-10 1万+
        服务器中使用tomcat作为应用服务器,然后检测出安全漏洞,需要去禁用RC4加密算法,并且另一个安全漏洞问题是SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱。 上面的安全漏洞解决方案是:        (1)重新配置SSL/TLS,禁用RC4加密算法        (2)重新配置SSL/TLS,使用大于1024位的Diffie-Hellman公共密钥...
简单几步让网站支持https,windows iis下https配置方式
weixin_34242509的博客
04-26 985
1.https证书的分类 SSL证书没有所谓的"品质"和"等级"之分,只有三种不同的类型。SSL证书需要向国际公认的证书证书认证机构(简称CA,Certificate Authority)申请。CA机构颁发的证书有3种类型:域名型SSL证书(DV SSL):信任等级普通,只需验证网站的真实性便可颁发证书保护网站; 企业型SSL证书(OV SSL):信任等级强,须要验证企业的身份,审核严...
Domino 修复关于sslv3的“贵宾犬”攻击(POODLE)
adeyi的专栏
11-07 3914
Technote (FAQ) Question How is IBM Domino impacted by the POODLE attack and what is the solution? Answer SSLv3 contains a vulnerability that has been referred to as the Padding Ora
常见的安全扫描漏洞的工具、漏洞分类及处理
qq_41831448的博客
06-06 9037
1.1. Unix/Linux漏洞 升级相应产商的系统版本或查找对应漏洞的补丁文件1.2. OpenSSH漏洞 OpenSSH 输入验证错误漏洞(CVE-2019-16905) OpenSSH 命令注入漏洞(CVE-2020-15778) OpenSSH 安全漏洞(CVE-2021-28041) 修复建议: 一般也是升级相应的OpenSSH版本1.3Nginx漏洞 1.3.1导致拒绝服务漏洞 HTTP/2是超文本传输协议的第二版,主要用于保证客户机与服务器之间的通信。HTTP/2中存在资源管理错误漏洞。攻击
Tomcat配置SSL
10-13
要在Tomcat上配置SSL,需要执行以下步骤: 1. 生成SSL证书和密钥 可以使用Java的keytool工具生成自签名证书和密钥。例如,以下命令将生成一个名为mycert的自签名证书和密钥: ``` keytool -genkey -alias mycert -keyalg RSA -keystore keystore.jks -validity 365 -keysize 2048 ``` 2. 配置Tomcat以使用SSLTomcat的server.xml文件中,需要添加一个Connector元素来启用SSL。例如,以下Connector元素将监听端口8443,并使用刚才生成的证书和密钥: ``` <Connector port="8443" protocol="HTTP/1.1" SSLEnabled="true" maxThreads="150" scheme="https" secure="true" keystoreFile="/path/to/keystore.jks" keystorePass="password" clientAuth="false" sslProtocol="TLS"/> ``` 3. 重启Tomcat并测试SSL连接 重启Tomcat后,可以使用浏览器访问https://localhost:8443来测试SSL连接。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值