Tomcat 7.0.52 APR 1.1.29 本机 TLS 协议会话重新协商安全漏洞 TLS SSL 中间人 CVE-2009-3555

【问题标题】:Tomcat 7.0.52 APR 1.1.29 native TLS Protocol Session Renegotiation Security Vulnerability TLS SSL Man In The Middle CVE-2009-3555Tomcat 7.0.52 APR 1.1.29 本机 TLS 协议会话重新协商安全漏洞 TLS SSL 中间人 CVE-2009-3555
【发布时间】:2014-03-20 08:30:47
【问题描述】:

我在 Windows 2008 R2 上的服务器安全扫描失败了,

TLS 协议会话重新协商安全漏洞 TLS SSL 中间人 CVE-2009-3555

扫描结果建议升级到 openssl 0.9.8l 或更高版本。

我正在使用最新版本的 tcnative-1.dll (1.1.29 13/02/14),据我了解,它是使用原生库和 openssl 库构建的。

我能解决这个问题的唯一方法是使用最新版本的 openssl 自己构建 tcnative 吗?

查看http://tomcat.apache.org/native-doc/ 构建部分,我需要 MS Visual Studio(我没有也从未使用过)。

还有其他人建造它吗?如果是这样,我找不到它。

【问题讨论】:

  • Apache Software Foundation 提供的 1.1.29 二进制文件是使用 OpenSSL 1.0.1e 构建的(当 Tomcat 启动时,您应该会看到一条与此有关的日志消息),因此 OpenSSL 版本不是问题。我需要做一些测试来看看这里发生了什么。
  • 谢谢马克,是的,刚刚注意到了。我真的不知道我该怎么办。

标签: security ssl tomcat7 apr


【解决方案1】:

此结果为误报。我使用 1.1.29 APR/native 连接器对各种版本的 Tomcat 进行了各种测试,在这些测试中都没有发生不安全的重新协商。

请注意,Tomcat - 根据版本、连接器和配置可能支持安全重新协商。

最明确的测试是使用 OpenSSL 0.9.8.k(即易受 CVE2009-3555 攻击并会尝试不安全的重新协商的 OpenSSL 版本)。当我尝试这个时,连接会阻塞并最终超时。

您需要找到更好的安全扫描器。

为了完整起见,测试的输出是:

$ ./openssl s_client -connect 192.168.23.9:8443
CONNECTED(00000003)
depth=1 /C=US/CN=ca-test.tomcat.apache.org
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=US/CN=localhost
   i:/C=US/CN=ca-test.tomcat.apache.org
 1 s:/C=US/CN=ca-test.tomcat.apache.org
       i:/C=US/CN=ca-test.tomcat.apache.org
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/CN=localhost
issuer=/C=US/CN=ca-test.tomcat.apache.org
---
No client certificate CA names sent
---
SSL handshake has read 2433 bytes and written 322 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: E98ED9D885D761C7B23AF93DC15C53D0680AF2D8345A37699549E48C9D4E18AE
    Session-ID-ctx:
    Master-Key: FA2C87FB24C68186D1CC63FEEF459B7DE4BA0F304D60F2293AB3C1C23DF03566F51DDB61A9576A1FE9C021CB3438B4C7
    Key-Arg   : None
    Start Time: 1395309769
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---
GET / HTTP/1.0
R
RENEGOTIATING
7087:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:530:

【讨论】:

  • 谢谢,我已经联系了扫描仪公司。
猜你喜欢
  • 2018-07-25
  • 2017-03-08
  • 2014-02-02
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 1970-01-01
  • 2018-11-26
  • 2017-10-23
相关资源
最近更新 更多
热门标签
Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode