将SSLv3.0 / TLSv1.0与某些加密技术结合使用(CBC块 密码)可以允许攻击者预测后续SSL分组的所谓初始化向量。使用此信息,攻击者可以访问另一个用户的安全会话。此攻击名为BEAST(针对SSL / TLS的浏览器漏洞利用),针对的是用户的浏览器,而不是Web服务器。尽管如此,也可以在服务器端采取对策,以防止攻击成功。
此问题的完整解决方案是禁用或取消支持优先级 使用SSLv3.0 / TLSv1.0时易受攻击的加密密码(CBC分组密码)。通常,这可以通过在密码协商过程中对RC4密码进行优先级来实现。
对于支持SSLv3.0 / TLSv1.0的Apache Web服务器,可以通过添加来配置 以下配置:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite RC4-SHA:HIGH:!ADH
对于支持SSLv3.1 / TLSv1.1及更高版本的Apache Web服务器,建议使用以下配置:
SSLProtocol All –SSlv2
SSLHonorCipherOrder On
SSLCipherSuite ECDHE-RSA-AES256-SHA384:AES256-SHA256:RC4:HIGH:!MD5:!aNULL:!EDH:!AESGCM
据我所知,JBoss 7基于支持SSLv3.1 / TLSv1.1的Apache版本(可能我错了),因此第二种选择可以应用于JBoss 7.
我的问题是:我应该在哪里/如何配置?
答案 0 :(得分:0)
不要对野兽袭击偏执。根据{{3}} Oracle解决了这个问题,它与JBoss没有直接关系到它的JVM问题。正如this所述,它很难在现实世界中应用野兽攻击。只需确保您的JVM和JBoss是最新的。如果您仍然怀疑在最好的做法是在反向代理(例如apache或nginx)后面运行JBoss。