weblogic在啟用https時一樣會報同WebSphere那樣的一SSL類漏洞,中間件修復這些漏洞原理上來說是一樣的,只是在具體操作上有着較大的區別。
1. weblogic禁用SSLv3算法
編緝$DOMAIN_HOME/bin目錄下的setDomainEnv.sh,找到"JAVA_OPTIONS="處,對於10.3.6.x及之后的版本在其后追加:
-Djava.net.preferIPv4Stack=true -Dweblogic.security.SSL.minimumProtocolVersion=TLSv1.0
對於10.3.6.x之前的版本則追加(這兩個是有些區別的,上邊是限定SSL的最低使用版本,下邊是指定SSL的使用版本):
-Dweblogic.security.SSL.protocolVersion=TLS1
保存退出,重啟weblogic即可
2. weblogic禁用RC4及其他有漏洞的加密套件
編緝$DOMAIN_HOME/config目錄下的config.xml,找到要限制密碼套件的server下的ssl標簽(比如我這里是myAdm),加入以下內容:
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_256_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite>
這三個密碼套件取自參考與WAS處理各SSL剩下的密碼套件也基本一致。最后一樣保存然后重啟weblogic即可。
3. 漏洞修復驗證
修復前的AWVS掃描結果
修復后的weblogic掃描結果
參考:
http://remotepsadmins.com/2015/01/24/ssl-weblogic/
http://thesmartpanda.com/weblogic-ssl-v3-0-disable-enable-tls-v1/