SSLv3 in Tomcat deaktiviert, aber immer noch POODLE-Sicherheitslücke vorhanden

SSLv3 in Tomcat deaktiviert, aber immer noch POODLE-Sicherheitslücke vorhanden

Ich habe einen Windows 2008-Server mit Tomcat 7.0.59 und Java 8u31 und versuche sicherzustellen, dass SSLv3 deaktiviert ist. Wenn man sich das Änderungsprotokoll für Java ansieht, sollte SSL3 nicht mehr unterstützt werden und das Java Control Panel hat in den erweiterten Sicherheitseinstellungen nicht einmal ein Kontrollkästchen, um es zu aktivieren. Trotzdem habe ich sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"meinen HTTP-Connector in server.xml hinzugefügt. Wenn ich einen POODLE-Schwachstellenscan ausführe, wird immer noch die Möglichkeit angezeigt, eine Verbindung über SSL3 herzustellen.

Gibt es Ideen für andere Suchorte oder Tools, mit deren Hilfe ermittelt werden kann, was SSL3 auf dieser Box aktiviert/unterstützt?

Hier ist die vollständige Connector-Konfiguration als Referenz:

<Connector port="443" protocol="HTTP/1.1" SSLEnabled="true"
           maxThreads="150" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" keyAlias="CAS-server"
           sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2"
           keystoreFile="[filepath]" keystorePass="[password]"/>

Der Server ist eine virtuelle Maschine, die auf VMWare läuft und nur für CAS (Single Sign-On-Implementierung von JA-SIG) verwendet wird. Weitere auf dem System installierte Programme:

  • EMC NetWorker
  • Sophos Anti-Virus / AutoUpdate / Remote-Verwaltungssystem
  • TortoiseSVN

verwandte Informationen