I server Apache Tomcat utilizzano Tomcat Native & APR vulnerabile al bug OpenSSL HeartBleed, o questo strato li isola? link
Informazioni bug HeartBled OpenSSL: link
Sul mio server Apache Tomcat, ho:
- Una versione vulnerabile di OpenSSL
- APR compilato e installato
- Creato e installato Tomcat Native utilizzando - with-apr e - with-ssl
- Tomcat sta gestendo le richieste direttamente. Un connettore sulla porta 443 è configurato con attributi SSLEnabled, SSLProtocol, SSLCipherSuite, SSLCertificateFile, SSLCertificateKeyFile, SSLCertificateChainFile
- SSLProtocol="- ALL + SSLv3 + TLSv1"
- SSLCipherSuite="ALL:! ANULL: eNULL:! ADH: RC4 + RSA: + ALTO: + MEDIO: BASSO: SSLv2: EXPORT"
Domande:
- Le versioni di Tomcat, APR o Tomcat Native hanno qualche effetto sulla vulnerabilità?
- I valori SSLProtocol o SSLCipherSuite influiscono sulla vulnerabilità?