我们的定期PCI审核失败,因为我们的Tomcat 7允许Diffie-Hellman密钥交换。我对Tomcat并不大,我做了一些研究无济于事。
审计说我有3个选择来纠正这个问题。
我们正在运行的内容: Tomcat 7.0.23 OpenSSL 0.9.8e CentOS 5.5
非常感谢任何帮助。
这是审计所说的:
“说明:SSL服务器接受弱Diffie-Hellman密钥概要:远程 SSL / TLS服务器接受弱Diffie-Hellman公共值。影响:遥控器 SSL / TLS服务器接受弱Diffie-Hellman(DH)公钥值。这个缺陷可能会 帮助攻击者进行中间人(MiTM)攻击 远程服务器,因为它可以强制计算完全可预测的 Diffie-Hellman的秘密。就其本身而言,这个缺陷不足以建立MiTM攻击 (因此风险因素为'无'),因为它需要一些SSL实施缺陷 影响连接到远程主机的其中一个客户端。
收到的数据:可以通过发送值为1的DH密钥完成完整的SSL握手。其他参考:OSVDB:70945,OSVDB:71845
解决方案:在FIPS模式下编译时,OpenSSL会受到影响。要解决此问题,请升级到OpenSSL 1.0.0,禁用FIPS模式或配置使用的密码套件 服务器不包含任何Diffie-Hellman密钥交换。 PolarSSL受到影响。至 解决此问题,升级到0.99-pre3 / 0.14.2或更高版本。如果使用任何 其他SSL实现,配置服务器使用的密码套件 包括任何Diffie-Hellman密钥交换或联系您的供应商以获取补丁。“
答案 0 :(得分:0)
使用3.
你可以谷歌'禁用TLS Tomcat 7'来查找如何执行此操作。
答案 1 :(得分:0)
对我来说,在将一个允许的密码列表添加到conf / server.xml中的Tomcat配置以禁用弱Diffie-Hellman密码后,它才起作用:
<Connector
protocol="HTTP/1.1"
port="8000"
...
scheme="https"
secure="true"
clientAuth="false"
sslProtocol="TLS"
SSLEnabled="true"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA"
redirectPort="8443"