Tomcat APR连接器和贵宾犬_Tomcat_Apr_Poodle Attack

Tomcat APR连接器和贵宾犬

tomcat

Tomcat APR连接器和贵宾犬,tomcat,apr,poodle-attack,Tomcat,Apr,Poodle Attack,我有两台生产服务器运行Tomcat 7.0，带有APR+SSL连接器，由于最近的狮子狗攻击，我被要求在其中一些服务器中完全禁用SSLv3。我翻阅了文档，根据它，将SSLProtocol设置为TLSv1（而不是all）应该足以禁用SSLv3并强制执行TLSv1 问题是TLSv1似乎启用了TLS，但并没有使服务器拒绝SSLv3。我使用openssl s_client-connect-ssl3测试了这一点，并验证了普通的旧SSLv3连接仍然可以接受，所以我想知道这是Tomcat中的一个bug，还是需要

我有两台生产服务器运行Tomcat 7.0，带有APR+SSL连接器，由于最近的狮子狗攻击，我被要求在其中一些服务器中完全禁用SSLv3。我翻阅了文档，根据它，将

SSLProtocol

设置为

TLSv1

（而不是

all

）应该足以禁用SSLv3并强制执行TLSv1

问题是

TLSv1

似乎启用了TLS，但并没有使服务器拒绝SSLv3。我使用

openssl s_client-connect-ssl3

测试了这一点，并验证了普通的旧SSLv3连接仍然可以接受，所以我想知道这是Tomcat中的一个bug，还是需要设置为禁用的SSLv3SLv3完全没有问题

更新：我暂时禁用了APR，并恢复为使用带有

sslProtocol=“TLS”

的NIO连接器，效果良好。该问题似乎特别影响了APR。作为参考，这是我的新连接器配置：

<Connector port="443" 
  protocol="org.apache.coyote.http11.Http11NioProtocol" 
  SSLEnabled="true"
  maxThreads="500" 
  scheme="https" 
  secure="true"
  clientAuth="false"
  keystoreFile="/etc/keys/***.ks"
  keystorePass="****"
  sslProtocol = "TLS"
  sslEnabledProtocols="TLSv1.1,TLSv1.2"
/>

在TLS上使用APR连接器时，完全禁用SSL的功能似乎仍在进行中。有关更多信息，请查看此链接：，特别是注释#37

好消息是，它将在下一版本的Tomcat和Tomcat原生版本中修复。请参见注释39：

评论#40:

tcnative 1.1.32是否有发布日期？上次（Heartbleed）Apache花了将近两周的时间发布了一个带有固定版本OpenSSL的版本……这一次事情应该进展得更快。如果你有机会重建OpenSSL，你可以使用

SSL\u OP\u NO\u SSLv3

集重新编译，OpenSSL库将在不支持该协议的情况下编译。据我所知，没有运行时选项（例如环境变量），可以在OpenSSL中禁用SSLv3。

Fixed in tcnative-trunk in r1632593 and tcnative-1.1.x in r1632595. 
Will be in tcnative 1.1.32.

Fixed in Tomcat-trunk in r1632604. Will be in Tomcat 8.0.15.
Fixed in Tomcat 7 in r1632606. Will be in Tomcat 7.0.57.