POODLE 攻撃を考慮して、IBM WebSphere 6 にデプロイされた Web アプリケーションで SSLv3 を無効にしたいと考えています。解決できない問題がいくつかあります。
1. WAS 6.0 および 6.1 で SSL を無効にして TLS を有効にする方法は?
2. クライアントがブラウザでアプリケーションの URL にアクセスし、ブラウザが SSL をサポートしている場合、リクエストは SSL で開始されます。WAS 6 では SSL が無効になっているため、エンド ユーザーがハンドシェイク例外を受け取る可能性はありますか?
3. アプリケーションの構成に変更が必要ですか、それとも Web サーバーのプロパティを変更すると効果がありますか?
質問する
3956 次
1 に答える
0
You don't need to change anything in your application. There is already fixpack provided for latest WebSphere versions - check this page Vulnerability in SSLv3 affects IBM WebSphere Application Server
For V6.1.0.0 through 6.1.0.47:
- Apply Interim Fix PI28796 : Will upgrade you to IBM Java SDK Version 5.0 Service Refresh 16 Fix Pack 7 + APAR IV66111 for change to disable SSLv3 by default.
6.0 is soo old, that I don't remember if it even supports TLS. You will have to dig in the admin console somewhere in SSL settings (the exact path might be different) Security > SSL > SSL_configuration_name and change the protocol to TLS.
If you access WebSphere via web server (Apache or IHS), then you need to disable SSLv3 on the web server instead of application server. For details see Vulnerability in SSLv3 affects IBM HTTP Server
Add the following directive to the httpd.conf file to disable SSLv3 and SSLv2 for each context that contains "SSLEnable":
# Disable SSLv3 for CVE-2014-3566
# SSLv2 is disabled in V8R0 and later by default, and in typical V7
# and earlier configurations disabled implicitly when SSLv3 ciphers
# are configured with SSLCipherSpec.
SSLProtocolDisable SSLv3 SSLv2Stop and restart IHS for the changes to take affect.
于 2015-03-12T12:32:37.160 に答える