Weblogic Mitigar a vulnerabilidade POODLE após a atualização e ainda usar cifras CBC

3

Eu recentemente atualizei meu servidor Weblogic para o 10.3.6 com o java 7. Então, com isso, eu tenho o TLS1.0 - TLS 1.2 ativado via setEnv.sh. Algumas das cifras que estou usando para garantir que sejam compatíveis (suportadas pelo Weblogic, FF37, Chrome 44, etc) são as seguintes:

<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>

Isso está em config.xml sob a tag ssl. Eu também tenho o JSSE ativado para ter certeza de que posso obter uma conexão TLS1.2.

A lista de códigos de suporte do Weblogic 10.3.6 foi encontrada aqui

Um problema que vejo com o SSL Labs é que, com essas cifras, ainda estou possivelmente vulnerável ao POODLE.

Uma varredura do Nmap me deu isso para o que as cifras são:

| ssl-enum-ciphers:
|   SSLv3:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.0:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.1:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|     compressors:
|       NULL
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong
|       TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA - strong
|       TLS_RSA_WITH_AES_128_CBC_SHA256 - strong
|     compressors:
|       NULL
|_  least strength: strong

Antes de o TLS1.1 e o TLS1.2 serem ativados em setEnv.sh, não tive esse problema, por isso não tenho certeza por que adicioná-los mudou o que aconteceu. Agora, minha pergunta é: como posso ter certeza de que eu tenho SSL3 desativado, mas ainda capaz de usar algumas das cifras CBC? ou tenho o apoio que preciso?

EDIT : Eu sei que as cifras CBC são um tipo não muito caro ... Estou aberto para sugestões de cifras que suportam TLS1.0 + e para um navegador tão baixo quanto o IE8.

    
por Vnge 22.04.2015 / 16:46

2 respostas

0

Apenas certifique-se de usar uma versão superior do Java do que 7u75 (desabilita-os por padrão) e, em seguida, acho que ativar o TLS1.0 só pode causar o downgrade do SSLv3 e, em seguida, usar -Dweblogic.security.SSL.protocolVersion = TLS1 e TLS1.1. Você deve ter desativado o CBC há muito tempo link . Então você pode ter requisitos conflitantes.

    
por 22.04.2015 / 17:05
0

Está atrasado para responder agora, mas pode ser usado como referência futura, se você estiver usando o Weblogic 10.3.6, que é compatível com o JDK7. Recentemente, a Oracle lançou a versão JDK 7u131, que suporta TLS1.1 e TLS1.2 por padrão. Então você pode atualizar o JDK para 7u131.

    
por 13.06.2017 / 23:01