POODLE漏洞,JBoss和IE

时间:2014-10-20 12:58:04

标签: internet-explorer ssl jboss poodle-attack

所以,我有JBoss 5.1.0 GA,我在这里阅读了有关如何禁用SSLv3的信息:

https://access.redhat.com/solutions/1232233

这里没有提到的是我还需要摆脱支持回退到SSLv3的所有密码。当我这样做时,我得到了一个绿色的复选标记"在这个网站上

https://www.tinfoilsecurity.com/poodle

这基本上是我已经确认我的服务器并且不再支持SSLv3的确认,但现在我无法使用IE(所有版本的IE)访问我的网站。由于我在server.xml配置中的密码列表中只有4个密码,因此我的目的是找到更多要添加到此列表中的密码,以使IE工作。我添加了50多个密码,但IE仍然无法加载我的网站。这是我到目前为止使用的所有密码的列表(我从这里得到了列表(https://www.openssl.org/docs/apps/ciphers.html):

  

TLS_DH_DSS_WITH_CAMELLIA_128_CBC_SHA,   TLS_DH_DSS_WITH_CAMELLIA_256_CBC_SHA,   TLS_DH_RSA_WITH_CAMELLIA_128_CBC_SHA,   TLS_DH_RSA_WITH_CAMELLIA_256_CBC_SHA,   TLS_DHE_DSS_WITH_CAMELLIA_128_CBC_SHA,   TLS_DHE_DSS_WITH_CAMELLIA_256_CBC_SHA,   TLS_DHE_RSA_WITH_CAMELLIA_128_CBC_SHA,   TLS_DHE_RSA_WITH_CAMELLIA_256_CBC_SHA,   TLS_DH_DSS_WITH_SEED_CBC_SHA,   TLS_DH_RSA_WITH_SEED_CBC_SHA,   TLS_DHE_DSS_WITH_SEED_CBC_SHA,   TLS_DHE_RSA_WITH_SEED_CBC_SHA,   TLS_RSA_WITH_NULL_MD5,   TLS_RSA_WITH_NULL_SHA,   TLS_RSA_EXPORT_WITH_RC4_40_MD5,   TLS_RSA_WITH_RC4_128_MD5,   TLS_RSA_WITH_RC4_128_SHA,   TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5,   TLS_RSA_WITH_IDEA_CBC_SHA,   TLS_RSA_EXPORT_WITH_DES40_CBC_SHA,   TLS_RSA_WITH_DES_CBC_SHA,   TLS_RSA_WITH_3DES_EDE_CBC_SHA,   TLS_DH_DSS_EXPORT_WITH_DES40_CBC_SHA,   TLS_DH_DSS_WITH_DES_CBC_SHA,   TLS_DH_DSS_WITH_3DES_EDE_CBC_SHA,   TLS_DH_RSA_EXPORT_WITH_DES40_CBC_SHA,   TLS_DH_RSA_WITH_DES_CBC_SHA,   TLS_DH_RSA_WITH_3DES_EDE_CBC_SHA,   TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA,   TLS_DHE_DSS_WITH_DES_CBC_SHA,   TLS_DHE_DSS_WITH_3DES_EDE_CBC_SHA,   TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA,   TLS_DHE_RSA_WITH_DES_CBC_SHA,   TLS_DHE_RSA_WITH_3DES_EDE_CBC_SHA,   TLS_DH_DSS_WITH_AES_128_CBC_SHA,   TLS_DH_DSS_WITH_AES_256_CBC_SHA,   TLS_DH_RSA_WITH_AES_128_CBC_SHA,   TLS_DH_RSA_WITH_AES_256_CBC_SHA,   TLS_DHE_DSS_WITH_AES_128_CBC_SHA,   TLS_DHE_DSS_WITH_AES_256_CBC_SHA,   TLS_DHE_RSA_WITH_AES_128_CBC_SHA,   TLS_DHE_RSA_WITH_AES_256_CBC_SHA,   TLS_KRB5_WITH_RC4_128_MD5,   TLS_KRB5_WITH_RC4_128_SHA

这些密码都不适用于IE,这意味着当我使用IE接近我的服务器时,我得到"此页面无法显示"。

有人可以帮我吗?是否有一个我可以使用的密码,它不会在我的服务器上打开SSLv3,也可以用于IE?

更新:如果我实施RedHat建议的解决方案(即将sslProtocols更改为" TLSv1,TLSv1.1,TLSv1.2和#34;):

  1. 启动JBoss时出现错误" TLSv1,TLSv1.1,TLSv1.2 SSLContext不可用"。这意味着该字符串无效,我必须只使用其中一个协议。好的,我会选择最安全的一个:" TLS1.2"
  2. 另一个问题是,在RedHat解决方案中,没有提到密码。我的印象是" ciphers"不再需要element,所以我从server.xml中删除了它,将sslProtocols值更改为" TLSv1.2"并扫描我的服务器。它仍然是脆弱的!
  3. 我尝试设置TLSv1.1和TLSv1。这是行不通的。似乎sslProtocols元素对服务器正在使用的协议没有任何影响,这意味着只有密码元素具有某些值。
  4. 好吧,那么,我说...我会找到一些特定于TLSv1.2的密码,我会在那里添加它,从而严密保护我的服务器。我从https://www.openssl.org/docs/apps/ciphers.html链接中指定的列表中添加了所有TLSv1.2密码。扫描了我的服务器,获得了一个绿色的复选标记",每一个都很好并且安全......试图通过任何浏览器接近我的服务器......"页面无法打开"。 Chrome:ERR_SSL_VERSION_OR_CIPHER_MISMATCH Firefox:ssl_error_no_cypher_overlap IE:页面无法打开(没有礼貌告诉我原因) 我勒个去?!我现在该怎么办?
  5. 好的,我将开始从https://www.openssl.org/docs/apps/ciphers.html列表中自下而上添加密码,跳过SSLv3列表。我得到了这个(非常简短的)列表: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,(IE仅适用于此密码) TLS_DHE_RSA_WITH_AES_128_CBC_SHA,(FF,Chrome和Safari使用此密码) TLS_DHE_RSA_WITH_AES_256_CBC_SHA,(FF,Chrome和Safari使用此密码) 所有浏览器都工作,看起来不错。 https://www.tinfoilsecurity.com/poodle - >绿色选中标记,一切都很好! 让我们尝试一些更多的在线扫描仪,只是为了安全... https://www.expeditedssl.com/poodle - >不易受伤害。大! https://www.poodlescan.com/ - >不堪一击! f **亩!
  6. 终极扫描:ssllabs.com ... VULNERABLE!

    7. 我在这里失去理智......请帮助!

    UPDATE2:经过2天的努力,试图弄明白问题是什么...... RedHat的建议修复包含元素sslProtocol *** s ***而不是sslProtocol(注意我正在使用的,并且在JbossWeb官方文档http://docs.jboss.org/jbossweb/2.1.x/config/http.html中描述了

    我刚刚添加了sslProtocols =" TLSv1,TLSv1.1,TLSv1.2"并删除了" ciphers"元素,一切都按预期工作。

2 个答案:

答案 0 :(得分:0)

你只需要将sslProtocols设置为tls 1.0,1.1和1.2,以防止POHLE攻击,如RedHat文档https://access.redhat.com/solutions/1232233中描述的那样(现在似乎没问题了,他们已经将它更新了几次财产的价值不正确)。

事实上,ssl3.0和tls1.0以及tls1.1 cypher基本相同,因此删除ssl3.0 cypher将defacto只留下1.2个新的cyphers(GMC one)。 POODLE攻击确实特定于使用ssl3和CBC密码的组合,禁用ssl3足以防止这些问题。

你输入的密码列表包含一些非常糟糕的密码(export,rc2 ......)。

您可以查看Mozilla服务器端的ssl配置建议,以了解您可以使用的密码:https://wiki.mozilla.org/Security/Server_Side_TLS

要查看服务器的安全级别以及它可以服务的浏览器,您可以使用ssllabs test

PS:您使用的是哪个版本的IE。它是6,它是合乎逻辑的,因为它默认只支持ssl3。您可以启用tls1.0(Internet选项>高级;最后有支持的ssl / tls列表,您可以检查tls 1.0并取消选中ssl 3.0以提高安全性)。如果您需要默认IE 6可以访问并防止POODLE ...抱歉没有安全的方法(RC4密码将与ssl3一起使用,并且不容易受到POODLE的影响,但由于其他原因它们不安全)。这实际上是IE6的杀手锏,没有办法与IE6默认配置进行安全的ssl连接。

答案 1 :(得分:0)

经过2天的努力,试图弄清问题是什么......

来自RedHat的建议修复包含元素sslProtocol s 而不是sslProtocol(注意最后没有's'),我正在使用它,并在官方JbossWeb中描述文档http://docs.jboss.org/jbossweb/2.1.x/config/http.html

我刚刚添加了

sslProtocols =“TLSv1,TLSv1.1,TLSv1.2”

并删除了“ciphers”元素,现在一切都按预期工作了。

相关问题
最新问题