Tomcat TLSの脆弱性Sweet32 Birthday attack

Question

私には、veracodeスキャンを提供しないtomcatサービスがあります。 TLS暗号に対する誕生日攻撃は、Tomcat HTTPSポート（8543）の脆弱性を発見しました。使用される場合

TomcatのHTTPS（ポート8543）64ビットの

レガシーブロック暗号有するブロックサイズ 実用的な衝突攻撃に対して脆弱である上に見つかりました：

いくつかのドキュメントを読んだ後、私は、次のツール一覧を発見しましたCBCモードで。 のすべてのバージョンSSL/TLSプロトコルは、DESまたは3DESを使用して、 対称暗号化暗号として使用される暗号スイートに影響します。

遠隔攻撃者は、誕生日攻撃 を使用してクリアテキストデータを長期間暗号化されたセッションから取得できます。

端末で次のコマンドを実行して、TomcatがSweet32誕生日攻撃の脆弱性があるかどうかをテストできます。

• opensslのs_client -connect localhostを：8543 -cipher "DES：3DES" -tls1_2
• opensslのs_client -connect localhostを：8543 -cipher「DES 次のopensslコマンドは、手動テストを行うために使用することができます：3DES」-tls1_1
• opensslのs_client -connect localhostを：8543 -cipher "DES：3DES" -tls1
• opensslのs_client -connect localhostを：8543 -cipher "DES：3DES" -ssl3
• opensslのs_client -connectローカルホスト：8543 - 暗号 "DES：3DES" -ssl2

問題はどこにこの脆弱性をブロックするかわかりません。 誰かが私を助けることができますか？あなたは次のようにserver.xmlファイルを修正Tomcatの8を使用していると仮定すると、

Answer 1

：

<Connector port="8543" maxHttpHeaderSize="8192" address="192.168.1.1" 
enableLookups="false" disableUploadTimeout="true" 
acceptCount="100" scheme="https" secure="true" clientAuth="false" 
keystoreFile="SomeDir/SomeFile.key" keystorePass="extensa" 
truststoreFile="SomeDir/SomeFile.truststore" truststorePass="extensa" 
sslProtocol="TLSv1, TLSv1.1, TLSv1.2" 
ciphers="TLS_ECDHE_ECDSA_WITH_AES_256_CBC_SHA384, 
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384, 
TLS_ECDH_ECDSA_WITH_AES_256_CBC_SHA384, ... 
"/> 

は、64-ビットおよび/または以下を持っており、彼らの暗号名にCBC、CTR、GCM、OCBを持っている暗号を削除

上記のパラメータをローカルインストールに編集します。keystoreFile、keystorePass、truststoreFile、truststorePass