POODLE
POODLE(Padding Oracle On Downgraded Legacy Encryption)即安全漏洞(CVE-2014-3566),此漏洞曾影响了使用最广泛的加密标准——SSLv3.0,攻击者可以利用该漏洞发动中间人攻击拦截用户浏览器和HTTPS站点的流量,然后窃取用户的敏感信息,如用户认证的cookies信息、账号信息等。目前我们要通过禁用SSLv3去修复此漏洞。
如何检测漏洞?
https://cim.itrus.cn 使用网站在线检测工具。
解决方法
Apache
在Apache 的 SSL 配置中禁用 SSLv2 和 SSLv3:
SSLProtocol all -SSLv2 -SSLv3
Nginx
在 Nginx 只允许使用 TLS 协议:
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
Tomcat
Tomcat从7版本后是可以支持修改SSL协议的,在tomcat中的SSL配置中禁用SSLV3:
<Connector port="443"
protocol="org.apache.coyote.http11.Http11Protocol"
SSLEnabled="true"
maxThreads="150"
scheme="https"
secure="true"
keystoreFile="conf\keystore.jks"
keystorePass="password"
clientAuth="false"
sslProtocol="TLS"
ciphers="TLS_RSA_WITH_AES_128_CBC_SHA,TLS_RSA_WITH_AES_256_CBC_SHA,TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_128_CBC_SHA256,TLS_RSA_WITH_AES_256_CBC_SHA256"/>
