問題タブ [poodle-attack]

Java 8 Update 31 以降、SSL プロトコルのセキュリティ上の欠陥により、SSL 3 プロトコルはデフォルトで無効になっています ( POODLE 攻撃を参照)。

推奨されていない場合でも、どのように有効にできますか?

Sun OS 5.06 (OAS 4.0.8)私の Web サイトはWeb サーバーでホストされ、使用されています : Web サイトは安全なページに https を使用するように構成されており、過去 10 年間は正常に機能していましたが、突然、顧客から、サイトを上または上でOracle_Web_Listener/4.0.8.閲覧できないという苦情が寄せられています。chrome version 40firefox 34

この問題を検索したところ、この問題をPOODLE attack引き起こしている可能性があることがわかりました。今私が見ることができる唯一の解決策はSSL v3、サーバーで無効にすることです。

これでSSL V3を無効にする方法やアイデアを手伝ってくれる人はいますOlde serverか? そのsun microsystem server。

WPF+Telerik を介して構築されたフロント エンドと、WCF Web サービスを使用したバックエンド通信を備えた Windows ベースのデスクトップ シック クライアント アプリがあります。

現在、通信はSSL3.0で行われています

SSL3.0 に関する最近のセキュリティ問題により、サーバー側で TLS 1.2 または TLS 1.1 を使用して、TLS のみを介したすべての通信を強制することが決定されました。

Fiddler と Wireshark を使用して、基盤となる Web サービス通信を検証してみました。200 の「Tunnel to」リクエストが TLS 経由で発生していることがわかります。

しかし、TLS が WebService Requests の ThickClient アプリによって明示的および暗黙的に使用されているかどうかをクロスチェックする他の方法はありますか?

Windows は、2014 年 12 月 15 日の Windows Update で TLS ホットフィックスをプッシュし、同じものが Windows 2008 R2 アプリケーション サーバーにインストールされています。SSL3.0 はフォールバック オプションとしてまだ無効になっていませんが、明示的に TLS は有効になっていません。ただし、MS KB の記事では、TLS が優先されると記載されています (TLS1.2>TLS1.1>TLS1.0>SSL3.0)。

セキュリティ アップデート (KnowledgeBase 記事 KB2992611 に続いて別のアップデート KB3018238) が 2014 年 12 月 9 日にプッシュされ、2014 年 12 月 15 日に HP マンスリー パッチを介して同じものがインストールされました<br> セキュリティ パッチとそのパッチの詳細については、次のリンクを確認してください。影響。SSLv3.0 脆弱性に対するパッチに関する Microsoft の公式更新 https://support2.microsoft.com/kb/2992611/en-us リンク 2: technet.microsoft.com/en-us/library/security/ms14-066.aspx

TLS Link3 のサポートの詳細: blogs.msdn.com/b/kaushal/archive/2011/10/02/support-for-ssl-tls-protocols-on-windows.aspx

初期パッチ KB2992611 で特定された問題と KB3018238 Link4 による即時修正block-iis-sites.html

「 https://oursite.com/poodlesecurityfailed.js」にアクセスするクライアント向けに Web テストを行っています。

質問、

証明書ネゴシエーション用のテスト ドメインにある場合でも、有効な証明書が必要ですか? クライアントが訪問できる場合、プードル テストに合格しませんでした。(SSLv3 が有効になっています)。

アイデア？

POODLE 攻撃を考慮して、IBM WebSphere 6 にデプロイされた Web アプリケーションで SSLv3 を無効にしたいと考えています。解決できない問題がいくつかあります。
1. WAS 6.0 および 6.1 で SSL を無効にして TLS を有効にする方法は?
2. クライアントがブラウザでアプリケーションの URL にアクセスし、ブラウザが SSL をサポートしている場合、リクエストは SSL で開始されます。WAS 6 では SSL が無効になっているため、エンド ユーザーがハンドシェイク例外を受け取る可能性はありますか?
3. アプリケーションの構成に変更が必要ですか、それとも Web サーバーのプロパティを変更すると効果がありますか?

Tomcat で SSL を無効にしようとしており、TLS ポートでアプリのリクエストを送信しようとしていますが、次のエラーが発生しています:

Manager への POST 要求の失敗: [SSL エラー: エラー:1408F10B:SSL ルーチン:SSL3_GET_RECORD:間違ったバージョン番号]

server.xml で使用している構成は次のとおりです。

TLSでこれを実行する方法を教えてください。

投稿リクエストは ulrencode され、https://:port//DataManager?a='1'?b='4' をデコードした後は次のようになります。

問題は、SSLV3 では動作しているが TLS では動作していないことです。私の質問は、http にあるクライアント側 (Apache) に追加のものを追加し、HTTPS にあるサーバー (Tomcat) に要求を送信する必要があるかどうかです。

TLSv1 をチェックするコマンドを実行した結果:

プードル攻撃の可能性があるため、WSO2 ESB-4.6.0 で SSLv3 を無効にしようとしています。

公式ドキュメントに従う：

うまくいきませんでした！ドキュメントに記載されているように、ESB-4.6.0 のカーボン バージョンが 4.2.0 ではなく 4.0.6 であるためだと思います。java -jar TestSSLServer.jar localhost 8243出力は次のとおりです。

だから、私の質問は次のとおりです: Carbon 4.0.6 で SSLv3 を無効にする方法は?