Poodle漏洞 CVE-2014-3566

Poodle漏洞 CVE-2014-3566

POODLE代表在已下载的旧版加密上添加Oracle,使黑客有可能窥探用户的网络浏览。问题是18年的加密标准,即SSL v3,仍被较旧的浏览器(如Internet Explorer 6)使用。 

如果OpManager使用HTTPS模式,则更改应仅在tomcat中进行。

如何保护Tomcat:

1. 停止OpManager服务。

2. \OpManager\tomcat\conf\backup文件夹中编辑ssl_server.xml,删除现有的 sslProtocols属性并在连接器XML节点中添加sslEnabledProtocols ="TLSv1,SSLv2Hello"


例如:
<Connector SSLEnabled="true" URIEncoding="UTF-8" acceptCount="100" address="0.0.0.0" clientAuth="false" compressableMimeType="text/html,text/xml" compression="force" compressionMinSize="1024" connectionTimeout="20000" disableUploadTimeout="true" enableLookups="false" keystoreFile="WEBNMS_ROOT_DIR/conf/OPMTrans.key" keystorePass="opmanager" maxThreads="150" minSpareThreads="3" noCompressionUserAgents="gozilla, traviata" port="WEBSERVER_PORT" protocol="HTTP/1.1" scheme="https" secure="true" sslEnabledProtocols="TLSv1,SSLv2Hello"/>

3. \OpManager\conf\文件夹中编辑Wrapper.conf在此行旁边添加以下红色条目。  

   wrapper.java.additional.13 = -Djava.net.preferIPv4Stack = true

我们需要找到该序列中的最后一个数字并添加新行。在不同版本中可能有所不同)


    wrapper.java.additional.14=-Dhttps.protocols=TLSv1

例如:
wrapper.java.additional.8 = -Djava.util.logging.manager = org.apache.juli.ClassLoaderLogManager
wrapper.java.additional.9 = -Djava.util.logging.config.file = tomcat / conf / logging.properties
wrapper.java.additional.10 = -XX:PermSize = 64m
wrapper.java.additional.11 = -XX:MaxPermSize = 128m
wrapper.java.additional.12 = -XX:+ HeapDumpOnOutOfMemoryError
wrapper.java.additional.13 = -Djava.net.preferIPv4Stack = true
wrapper.java.additional.14 = -Dhttps.protocols = TLSv1
4.\OpManager\bin文件夹中编辑StartOpManagerServer.bat在此行旁边添加以下红色条目。
    .\tomcat\conf\workers.properties

     -Dhttps.protocols = TLSv1

例如:

%JAVA_HOME%\bin\java -cp %CLASSPATH% -Dcatalina.home=.\tomcat -XX:+HeapDumpOnOutOfMemoryError -Xms200m -Xmx400m -XX:PermSize=64m  -XX:MaxPermSize=128m -Djava.library.path=.\lib -Dwebserver.rootdir=.\tomcat -Djava.rmi.server.codebase=.\tomcat\conf\workers.properties -Dhttps.protocols=TLSv1 -Djava.util.logging.manager=org.apache.juli.ClassLoaderLogManager -Djava.util.logging.config.file=%TOMCAT_HOME%\conf\logging.properties com.adventnet.me.opmanager.server.StartOpManagerJdbc TOMCAT_DIR .\tomcat\ ROOT_DIR . NATIVE_PING true NMS_BE_FAILOVER true

5.重新启动OpManager服务从而使更改生效。这样可以确保tomcat完全不再使用SSLv3。 

    • Related Articles

    • Spring(CVE-2022-22965)框架漏洞对ManageEngine本地产品无影响

      Spring框架中的一个严重漏洞 ( CVE-2022-22965 ) 影响在JDK 9+上运行的Spring MVC和Spring WebFlux应用程序已于2022年3月31日被公开披露。VMWare/Spring在此处记录了此漏洞的详细信息:https: //spring.io/blog/2022/03/31/spring-framework-rce-early-announcement   ...

    • 【OPM】不涉及 Apache Tomcat CVE-2023-50164漏洞

      OpManager 不涉及Apache Tomcat CVE-2023-50164 漏洞 Apache Struts 2中的远程代码执行漏洞(CVE-2023-50164) OpManager 不涉及Apache Tomcat CVE-2023-50164 漏洞,因为在OpManager中我们不会使用该 Struts。

    • 【OPM】不涉及 Apache Tomcat CVE-2023-46589漏洞

      OpManager 不涉及Apache Tomcat CVE-2023-46589漏洞 因为OpManager中不使用 HTTP Trailer header

    • 【APM】不涉及 Apache Tomcat CVE-2023-46589漏洞

      Applications Manager 不涉及Apache Tomcat CVE-2023-46589漏洞 因为 Applications Manager 中不使用 HTTP Trailer header。 同时,该漏洞仅适用于在反向代理服务器后的APM实例之间运行。(APM和浏览器之间的代理服务器) 所以此漏洞不适用的另一个原因是漏洞利用前提需要反向代理服务器。

    • AD部分产品受Apache log4j2(CVE-2021-44228)漏洞影响(附workaround)

      经与研发团队确认,部分AD产品受Apache log4j2(CVE-2021-44228)漏洞影响,提供的workaround如下: EventLog Analyzer: We have replaced the %m with %m{nolookups} in the log4j2.properties of ES. 1.Download the log4j2.properties file from the below link.       ...