该漏洞存在于SSL renegotiation的过程中。对于使用SSL重协商功能的服务都会受其影响。特别的,renegotiation被用于浏览器到服务器之间的验证。虽然目前可以在不启用renegotiation进程的情况下使用HTTPS,但很多服务器的默认设置均启用了renegotiation功能。该漏洞只需要一台普通电脑和DSL连接即可轻易攻破SSL服务器。而对于大型服务器集群来说,则需要20台电脑和120Kbps的网络连接即可实现。SSL是银行、网上电子邮件服务和其他用于服务器和用户之间保护私人数据并安全通信必不可少的功能。所以本次拒绝服务漏洞影响范围非常广危害非常大。
1、修改/opt/tomcat/apache-tomcat-7/conf/server.xml文件的如下标红参数。
<Connector port="28443" protocol="org.apache.coyote.http11.Http11NioProtocol"
cOnnectionTimeout="8000" URIEncoding="UTF-8" server="LicenseServer"
SSLEnabled="true" scheme="https" secure="true"
clientAuth="false" sslProtocol="TLS"
keystoreFile="conf/tomcat.keystore" keystorePass="admin@licsForlics"
maxHttpHeaderSize="16384"
maxThreads="1024" minSpareThreads="25" maxSpareThreads="1000"
debug="0"
acceptCount="1500"
disableUploadTimeout="true" enbaleLookups="false"
compression="on" compressiOnMinSize="2048"
noCompressiOnUserAgents="gozilla, traviata"
compressableMimeType="text/html,text/xml"/>
2、重启licstomcat服务。
service licstomcat restart
注意:先操作备机再操作主机。