私には、veracodeスキャンを提供しないtomcatサービスがあります。 TLS暗号に対する誕生日攻撃は、Tomcat HTTPSポート(8543)の脆弱性を発見しました。使用される場合Tomcat TLSの脆弱性Sweet32 Birthday attack
TomcatのHTTPS(ポート8543)64ビットの
レガシーブロック暗号有するブロックサイズ 実用的な衝突攻撃に対して脆弱である上に見つかりました:
いくつかのドキュメントを読んだ後、私は、次のツール一覧を発見しましたCBCモードで。 のすべてのバージョンSSL/TLSプロトコルは、DESまたは3DESを使用して、 対称暗号化暗号として使用される暗号スイートに影響します。
遠隔攻撃者は、誕生日攻撃 を使用してクリアテキストデータを長期間暗号化されたセッションから取得できます。
端末で次のコマンドを実行して、TomcatがSweet32誕生日攻撃の脆弱性があるかどうかをテストできます。
- opensslのs_client -connect localhostを:8543 -cipher "DES:3DES" -tls1_2
- opensslのs_client -connect localhostを:8543 -cipher「DES 次のopensslコマンドは、手動テストを行うために使用することができます:3DES」-tls1_1
- opensslのs_client -connect localhostを:8543 -cipher "DES:3DES" -tls1
- opensslのs_client -connect localhostを:8543 -cipher "DES:3DES" -ssl3
- opensslのs_client -connectローカルホスト:8543 - 暗号 "DES:3DES" -ssl2
問題はどこにこの脆弱性をブロックするかわかりません。 誰かが私を助けることができますか?あなたは次のようにserver.xmlファイルを修正Tomcatの8を使用していると仮定すると、