Comment faire pour désactiver le protocole SSLv3 dans la Jetée de prévenir Caniche Attaque

Est-il spécifique à l'exclusion de la liste qui désactive seulement SSLv3 les algorithmes ne sont pas TLSv1/2.

J'ai jetée 8, et la mise à niveau vers 9 n'est pas une option. Mon actuel jetty-ssl.xml se présente comme suit

<Configure id="Server" class="org.eclipse.jetty.server.Server">
<Call name="addConnector">
<Arg>
<New class="org.eclipse.jetty.server.ssl.SslSelectChannelConnector">
<Arg>
<New class="org.eclipse.jetty.http.ssl.SslContextFactory">
.........
</New>
</Arg>
<Set name="ExcludeCipherSuites">
<Array type="java.lang.String">             
<Item>SSL_RSA_WITH_NULL_MD5</Item>
<Item>SSL_RSA_WITH_NULL_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_RC4_40_MD5</Item>
<Item>SSL_RSA_WITH_RC4_128_MD5</Item>
<Item>SSL_RSA_WITH_RC4_128_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_RC2_CBC_40_MD5</Item>
<Item>SSL_RSA_WITH_IDEA_CBC_SHA</Item>
<Item>SSL_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DH_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DH_DSS_WITH_DES_CBC_SHA</Item>
<Item>SSL_DH_DSS_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DH_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DH_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_DH_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_DES_CBC_SHA</Item>
<Item>SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_DES_CBC_SHA</Item>
<Item>SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_DH_anon_EXPORT_WITH_RC4_40_MD5</Item>
<Item>SSL_DH_anon_WITH_RC4_128_MD5</Item>
<Item>SSL_DH_anon_EXPORT_WITH_DES40_CBC_SHA</Item>
<Item>SSL_DH_anon_WITH_DES_CBC_SHA</Item>
<Item>SSL_DH_anon_WITH_3DES_EDE_CBC_SHA</Item>
<Item>SSL_FORTEZZA_KEA_WITH_NULL_SHA</Item>
<Item>SSL_FORTEZZA_KEA_WITH_FORTEZZA_CBC_SHA</Item>
<Item>SSL_FORTEZZA_KEA_WITH_RC4_128_SHA</Item>
<Item>SSL_DHE_RSA_WITH_AES_128_CBC_SHA</Item>
<Item>SSL_RSA_WITH_AES_128_CBC_SHA</Item>   
</Array>
</Set>
</New>
</Arg>
</Call>

encore quand je lance "sslscan --no-échec --ssl3 localhost:443" je obtenir

    Supported Server Cipher(s):
Accepted  SSLv3  128 bits  DHE-RSA-AES128-SHA
Accepted  SSLv3  128 bits  AES128-SHA
Prefered Server Cipher(s):
SSLv3  128 bits  DHE-RSA-AES128-SHA
  • Ouvert de nouvelles bug à la Jetée d'avoir SSLv3 désactivé par défaut à partir de la Jetée de 9.3 - bugs.eclipse.org/447381
InformationsquelleAutor Atul Soman | 2014-10-15
  1. 13

    J'ai dû désactiver SSLv3 dans une application où l'on intégrer la Jetée de code source. Basé sur ce que j'ai changé dans le code, je suppose que vous ajoutez les éléments suivants:

    <Set name="ExcludeProtocols">
<Array type="java.lang.String">             
<Item>SSLv3</Item>
</Array>
</Set>

    Donner un coup de feu, et laissez-moi savoir si cela fonctionne pour vous.

    • veuillez mettre à jour votre réponse à l'état que cette configuration est pour le SslContextFactory, et travaille pour la Jetée 7/8/9 (juste testé tous les 3, et il fonctionne)
    • Cela a fonctionné, je suis accepter cette réponse. Merci !
    InformationsquelleAutor Lars
  2. 4

    Étendre sur @Lars réponse ..

    Pour Jetty 7, Quai 8, et de la Jetée de 9, vous devez exclure le protocole SSLv3 (pas de chiffrement) sur toute SslContextFactory vous utilisez pour configurer le SSL fonction du Connecteur.

    Pour une Jetée de Distribution

    Modifier le ${jetty.home}/etc/jetty-ssl.xml et ajoutez le code XML suivant extrait.

    <Set name="ExcludeProtocols">
<Array type="java.lang.String">
<Item>SSLv3</Item>
</Array>
</Set>

    À l'intérieur de n'importe quel élément qui gère un org.eclipse.jetty.http.ssl.SslContextFactory

    Pour Jetty Embarqué

    Tout SslContextFactory vous créer/gérer pour votre SSL fonction des Connecteurs, vous devez simplement définir les exclus protocoles.

        SslContextFactory sslContextFactory = new SslContextFactory();
sslContextFactory.addExcludeProtocols("SSLv3");
sslContextFactory.setKeyStorePath(...);
...
    • Je suis toujours coincé avec Jetty v6 (en raison de toujours être basé sur Eclipse 3.7), comment dois-je faire cela? sslContextFactory.addExcludeProtocols() n'existe pas...
    • La jetée 6 n'ont pas de soutien. Désolé. Vous aurez à faire votre propre SslSocketConnector. Voir Karl, en réponse à une autre question qui est pour quelques exemples de code - stackoverflow.com/a/19937704/775715 - d'ailleurs, la Jetée 6 était en fin de vie en 2010, il n'a PAS de VULNÉRABILITÉ des CORRECTIFS depuis. Le caniche est juste 1 de centaines de vulnérabilités, il manque des correctifs pour (si vous utilisez Jetée sur Windows multiplier par 3). Il est fortement conseillé de mettre à niveau, ou ne pas exécuter de la Jetée 6 sur l'internet public.
    • Voici l'Éclipse côté de suivi des bogues de la mise à jour de l'Éclipse elle-même à l'Embarcadère 9 - bugs.eclipse.org/401784
    • Ouais, je sais, c'est pas à jour, malheureusement la mise à niveau de l'Éclipse est un grand morceau de travail et n'est pas une option pour le logiciel qui est déjà livré à un certain nombre de Clients. Nous avons trouvé une solution de contournement par l'enregistrement d'un LivecycleListener sur le SslSocketConnector et l'accès et le réglage de la nouvellement créée ServerSocket là.
    InformationsquelleAutor Joakim Erdfelt
  3. 0

    J'ai configuré la Jetée 8.1 sans ssl3. Vous pouvez voir la structure complète de jetty-ssl.xml.

     
<Configurer id="Server" class="org.eclipse.la jetée.serveur.Serveur"> 
<nom="addConnector"> 
<Arg> 
<la Nouvelle class="org.eclipse.la jetée.serveur.le protocole ssl.SslSelectChannelConnector"> 
<Arg> 
<la Nouvelle class="org.eclipse.la jetée.http.le protocole ssl.SslContextFactory"> 
<Set nom="keyStore">... </Set> 
<Set nom="keyStorePassword">... </Set> 
<Set nom="keyManagerPassword">... </Set> 
<Set nom="trustStore">... </Set> 
<Set nom="trustStorePassword>... </Set 
<Set nom="ExcludeProtocols"> 
<Array type="java.lang.Chaîne de caractères"> 
<Item>SSLv3 </Item> 
</Table> 
</Set> 
</New> 
</Arg> 
<Set name="port">... </Set> 
<Set nom="maxIdleTime">... </Set> 
</New> 
</Arg> 
</Appel> 
</Configure>
    InformationsquelleAutor user2918934