Tomcat TLS漏洞Sweet32 Birthday攻击

时间:2017-08-29 12:43:19

标签: security tomcat ssl encryption

我有一个tomcat服务,它不会进行veracode扫描。针对TLS密码的生日攻击发现了Tomcat HTTPS端口中的漏洞(8543)。

在阅读了一些文件之后我发现了以下信息:

  

在Tomcat HTTPS(端口8543)上找到

     

块大小为64位的传统块密码容易受到攻击   在CBC模式下使用时的实际碰撞攻击。所有版本的   SSL / TLS协议支持使用DES或3DES作为密码套件的密码套件   对称加密密码受到影响。

     

远程攻击者可以通过生日攻击获取明文数据   针对长时间加密的会话。

在终端中,可以执行以下命令来测试tomcat是否容易受到Sweet32生日攻击。 以下openssl命令可用于进行手动测试:

  • openssl s_client -connect localhost:8543 -cipher“DES:3DES”-tls1_2
  • openssl s_client -connect localhost:8543 -cipher“DES:3DES”-tls1_1
  • openssl s_client -connect localhost:8543 -cipher“DES:3DES”-tls1
  • openssl s_client -connect localhost:8543 -cipher“DES:3DES”-ssl3
  • openssl s_client -connect localhost:8543 -cipher“DES:3DES”-ssl2

问题是我不知道在哪里阻止此漏洞。 有人能帮助我吗?

1 个答案:

答案 0 :(得分:1)

假设您使用的是Tomcat 8,请按如下方式修改server.xml文件:

<li>

删除64位及/或以下的密码,并以其密码名称包含CBC,CTR,GCM,OCB

将以上参数编辑到本地安装:keystoreFile,keystorePass,truststoreFile,truststorePass

相关问题
最新问题