服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Weblogic在升级后缓解POODLE漏洞并仍然使用CBC密码
Intereting Posts
如何获得CentOS 6 kickstart来请求主机名? 两个SIL RAID卡的SATA驱动器问题 loginIIS 7.5 在CentOS系统上使用puppet安装apt-dater-host 准备出售服务器 目录的selinux多种types iptables减慢连接 RHEL:时区更改受影响的进程 顶部命令 – 进程的CPU不加起来 Exchange 2010邮箱通过自动映射出现两次 如何暂停OpenVPN的客户端证书活动? TracError:未find存储库 什么是最好的方式来找出你有多lessstream量? 端口转发到OpenVPN连接一次,然后停止连接 如何在电源pipe理活动上刷新我的ssh密钥?

Weblogic在升级后缓解POODLE漏洞并仍然使用CBC密码

我最近用java 7升级了我的Weblogic服务器到10.3.6。因此,我通过setEnv.sh启用了TLS1.0 – TLS 1.2。 我使用的一些密码确保它们兼容(由Weblogic,FF37,Chrome 44等支持)如下: 

<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>

这是在SSL标签下的config.xml中。 我也有JSSE启用,以确保我可以得到一个TLS1.2连接。

Weblogic 10.3.6支持的encryption列表在这里find

我用SSL实验室看到的一个问题是,使用这些密码,我仍然可能容易受到POODLE的攻击。

Nmap扫描给了我这个密码是什么: 

 | ssl-enum-ciphers: | SSLv3: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | compressors: | NULL | TLSv1.0: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | compressors: | NULL | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | compressors: | NULL |_ least strength: strong

在setEnv.sh中启用TLS1.1和TLS1.2之前,我没有这个问题,所以我不确定为什么添加它们改变了发生的事情。 现在我的问题是如何确保我禁用SSL3,但仍然可以使用一些CBC密码? 或有我需要的支持?

编辑 :我知道,CBC密码是一个没有bueno有点东西…我打开密码支持TLS1.0 +和IE 8的浏览器的build议。

只要确保你使用比7u75更高版本的Java(默认禁用它),那么我认为启用TLS1.0只会导致SSLv3降级,那么你可以使用-Dweblogic.security.SSL.protocolVersion = TLS1和TLS1 0.1。 你应该早就禁用CBC了https://community.qualys.com/thread/9974 。 所以你可能有矛盾的要求。

现在要回答这个问题已经很晚了,但如果您使用的是与JDK7兼容的Weblogic 10.3.6, 则可以作为将来的参考 。 最近Oracle发布了默认支持TLS1.1和TLS1.2的JDK 7u131版本。 所以你可以把JDK升级到7u131。