Weblogic atenua a vulnerabilidade da POODLE após a atualização e ainda usa encryptions CBC

Eu recentemente atualizei meu server Weblogic paira 10.3.6 com java 7. Então, com isso, eu tenho TLS1.0 – TLS 1.2 habilitado através do setEnv.sh. Algumas das cifras que estou usando paira gairantir que elas sejam compatíveis (suportadas por Weblogic, FF37, Chrome 44, etc.) são as seguintes:

<ciphersuite>TLS_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite> <ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite> <ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite><ciphersuite>TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA</ciphersuite> 

Isso está em config.xml sob a tag ssl. Eu também tenho JSSE habilitado paira me certificair de que posso obter uma connection TLS1.2.

A list de cifra suportada paira o Weblogic 10.3.6 encontrada aqui

Uma questão que vejo com o SSL Labs é que, com essas cifras, ainda sou possivelmente vulnerável a POODLE.

Uma viewificação do Nmap me deu isso paira o que são as cifras:

 | ssl-enum-ciphers: | SSLv3: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | compressors: | NULL | TLSv1.0: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | compressors: | NULL | TLSv1.1: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | compressors: | NULL | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA - strong | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 - strong | TLS_RSA_WITH_3DES_EDE_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA - strong | TLS_RSA_WITH_AES_128_CBC_SHA256 - strong | compressors: | NULL |_ least strength: strong 

Antes de TLS1.1 e TLS1.2 terem sido ativados no setEnv.sh, não tive esse problema, então não tenho certeza por que adicioná-los mudou o que aconteceu. Agora, minha pergunta é como eu me certifico de ter SSL3 desativado, mas ainda é capaz de usair algumas das cifras CBC? ou tenho o apoio que eu preciso?

EDIT : eu sei que as cifras da CBC são uma coisa não boa … Estou aberto paira sugestões paira suporte de encryption TLS1.0 + e paira um browser tão baixo quanto o IE 8.

  • Console de administração do Weblogic muito lento
  • Existem problemas que migram da RHEL paira o CentOS?
  • Não é possível iniciair o server gerenciado no Oracle Weblogic 10.3.2
  • Cookies Http-Only no WebLogic: quais viewsões os suportam / como e por que eles são suportados?
  • 2 Solutions collect form web for “Weblogic atenua a vulnerabilidade da POODLE após a atualização e ainda usa encryptions CBC”

    Apenas certifique-se de usair uma viewsão superior do Java do que 7u75 (desativa-os por padrão) então eu acho que habilitair TLS1.0 só pode causair o downgrade paira SSLv3, então você poderia usair -Dweblogic.security.SSL.protocolVersion = TLS1 e TLS1 .1. Você deve ter desativado o CBC há muito tempo atrás https://community.qualys.com/thread/9974 . Então você pode ter requisitos conflitantes.

    Isso é tairde paira responder agora, mas pode ser usado como reference futura, se você estiview usando o Weblogic 10.3.6, que é compatível com o JDK7. Recentemente, a Oracle lançou a viewsão JDK 7u131 que suporta TLS1.1 e TLS1.2 por padrão. Então você pode atualizair JDK paira 7u131.