POODLE
POODLE(Padding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影響了使用最廣泛的加密标準——SSLv3.0,攻擊者可以利用該漏洞發動中間人攻擊攔截使用者浏覽器和HTTPS站點的流量,然後竊取使用者的敏感資訊,如使用者認證的cookies資訊、賬号資訊等。目前我們要通過禁用SSLv3去修複此漏洞。
如何檢測漏洞?
https://cim.itrus.cn使用網站線上檢測工具。
解決方法
Apache
在Apache 的 SSL 配置中禁用 SSLv2 和 SSLv3:
SSLProtocol all -SSLv2 -SSLv3
Nginx
在 Nginx 隻允許使用 TLS 協定:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Tomcat
Tomcat從7版本後是可以支援修改SSL協定的,在tomcat中的SSL配置中禁用SSLV3:
<Connector port="443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
keystoreFile="conf\keystore.jks"
keystorePass="password"
clientAuth="false"
sslProtocol="TLS"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/> ![Apache靜态檔案通路配置(書封伺服器)[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)