Security Tomcat 7.0.52 APR1.1.29本地TLS协议会话重新协商安全漏洞TLS-MAN中间CVE-2009 93555_Security_Ssl_Tomcat7_Apr

Security Tomcat 7.0.52 APR1.1.29本地TLS协议会话重新协商安全漏洞TLS-MAN中间CVE-2009 93555

security ssl

Security Tomcat 7.0.52 APR1.1.29本地TLS协议会话重新协商安全漏洞TLS-MAN中间CVE-2009 93555,security,ssl,tomcat7,apr,Security,Ssl,Tomcat7,Apr,我在Windows 2008 R2上的服务器安全扫描失败，原因是 TLS协议会话重新协商安全漏洞TLS-MAN在CVE-2009—3555 中扫描结果建议升级到openssl 0.9.8l或更高版本我正在使用最新版本的tcnative-1.dll（1.1.29 13/02/14），据我所知，它是使用本机库和openssl库构建的我能解决这个问题的唯一方法是用最新版本的openssl自己构建tcnative吗查看构建部分，我需要MS Visual Studio（我没有也从未使用过）还有

我在Windows 2008 R2上的服务器安全扫描失败，原因是

TLS协议会话重新协商安全漏洞TLS-MAN在CVE-2009—3555

中扫描结果建议升级到openssl 0.9.8l或更高版本

我正在使用最新版本的tcnative-1.dll（1.1.29 13/02/14），据我所知，它是使用本机库和openssl库构建的

我能解决这个问题的唯一方法是用最新版本的openssl自己构建tcnative吗

查看构建部分，我需要MS Visual Studio（我没有也从未使用过）

还有其他人建造它吗？如果是这样，我就找不到了。

这个结果是假阳性。我使用1.1.29 APR/本机连接器对不同版本的Tomcat执行了各种测试，在这些测试中没有发生不安全的重新协商

注意，Tomcat-根据版本、连接器和配置，可能支持安全重新协商

最权威的测试是OpenSSL 0.9.8.k（即易受CVE2009-3555攻击的OpenSSL版本，将尝试不安全的重新协商）。当我尝试这种方法时，连接会阻塞，最终会超时

你需要找一个更好的安全扫描器

为了完整性，测试的输出为：

$ ./openssl s_client -connect 192.168.23.9:8443
CONNECTED(00000003)
depth=1 /C=US/CN=ca-test.tomcat.apache.org
verify error:num=19:self signed certificate in certificate chain
verify return:0
---
Certificate chain
 0 s:/C=US/CN=localhost
   i:/C=US/CN=ca-test.tomcat.apache.org
 1 s:/C=US/CN=ca-test.tomcat.apache.org
       i:/C=US/CN=ca-test.tomcat.apache.org
---
Server certificate
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
subject=/C=US/CN=localhost
issuer=/C=US/CN=ca-test.tomcat.apache.org
---
No client certificate CA names sent
---
SSL handshake has read 2433 bytes and written 322 bytes
---
New, TLSv1/SSLv3, Cipher is DHE-RSA-AES256-SHA
Server public key is 2048 bit
Compression: NONE
Expansion: NONE
SSL-Session:
    Protocol  : TLSv1
    Cipher    : DHE-RSA-AES256-SHA
    Session-ID: E98ED9D885D761C7B23AF93DC15C53D0680AF2D8345A37699549E48C9D4E18AE
    Session-ID-ctx:
    Master-Key: FA2C87FB24C68186D1CC63FEEF459B7DE4BA0F304D60F2293AB3C1C23DF03566F51DDB61A9576A1FE9C021CB3438B4C7
    Key-Arg   : None
    Start Time: 1395309769
    Timeout   : 300 (sec)
    Verify return code: 19 (self signed certificate in certificate chain)
---
GET / HTTP/1.0
R
RENEGOTIATING
7087:error:1409E0E5:SSL routines:SSL3_WRITE_BYTES:ssl handshake failure:s3_pkt.c:530:

由Apache软件基金会提供的1.1.29二进制文件是用OpenSSL 1.0.1E构建的（当Tomcat启动时，您应该看到一个日志消息来实现这个效果），因此OpenSSL版本不是问题。我需要做一些测试，看看这里发生了什么。谢谢马克，是的，我刚刚注意到了。我真的不知道我该怎么办。谢谢你，我已经联系了扫描仪公司。