如何修复SSL POODLE漏洞

日期:2015-05-17来源:优创联科技 作者:SSl证书 点击:
POODLE = Padding Oracle On Downgraded Legacy Encryption.是最新安全漏洞(CVE-2014-3566)的代号,俗称“贵宾犬”漏洞。 此漏洞是针对SSL3.0中CBC模式加密算法的一种padding oracle攻击,可以让攻击者获取SSL通信中的部分信息明文,如果将明文中的重要部分获取了,比如cookie,session,则信息的安全出现了隐患。
 
如何检测漏洞
可以是通过在线检测工具https://www.ssllabs.com/ssltest/ 来进行检测。
 
修复措施
 
禁用sslv3协议
不同的web server不尽相同。这边列举主流的服务器的禁用方式
 
Nginx
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
 
apache
SSLProtocol all -SSLv2 -SSLv3
IIS
使用我们的套件工具,下载地址:https://www.nartac.com/Products/IISCrypto/Default.aspx 
如何修复SSL POODLE漏洞,SSL POODLE漏洞方法
 
根据图示进行选择,修改完成后重启服务器。
Tomcat
Tomcat 5 and 6 (prior to 6.0.38)
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
 
Tomcat 6 (6.0.38 and later) and 7
    <Connector port="8443" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               clientAuth="false" sslEnabledProtocols = "TLSv1,TLSv1.1,TLSv1.2" />
 
使用apr的tomcat
<Connector port="443" maxHttpHeaderSize="8192"
               maxThreads="150"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               SSLEnabled="true" 
               SSLProtocol="TLSv1"
               SSLCertificateFile="${catalina.base}/conf/localhost.crt"
               SSLCertificateKeyFile="${catalina.base}/conf/localhost.key" />
 
对于其他平台的修复方式 可以参考其官方文档,或者联系我们。
 
*注意事项:
Windows XP 系统下的 IE6 或以IE6作为内核的浏览器,默认不支持 SSL3.0以上的 加密协议。
若服务端关闭SSL3.0协议,需在此类客户端启用TLS 协议。
如何修复SSL POODLE漏洞,SSL POODLE漏洞方法
tag标签:(1)
------分隔线----------------------------
------分隔线----------------------------