How To Disable SSLv3 to Mitigate Against POODLE Exploit for JIRA

お困りですか?

アトラシアン コミュニティをご利用ください。

コミュニティに質問

If JIRA is running behind a proxy that handles SSL for it then the following information does not apply. Instead you will need to modify the configuration of the proxy that is in front of JIRA to disable SSLv3. It is recommend to host JIRA behind a reverse-proxy as per the below documentation rather than host SSL on Tomcat:

目的

If you have enabled the SSL connector for JIRA using <jira_install>/conf/server.xml, the default settings do not block SSLv3 connections which can be exploited by the POODLE fallback attack. There are two changes that need to be made to the SSL connector. By default, the SSL connector sets sslProtocol="TLS" which starts both TLS connectors and SSLv3 connectors. You can tell if you are affected by opening <jira_install>/conf/server.xml and find the SSL connector, example follows:

<Connector port="8443" maxHttpHeaderSize="8192"
           maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
           enableLookups="false" disableUploadTimeout="true"
           acceptCount="100" scheme="https" secure="true"
           clientAuth="false" sslProtocol="TLS" SSLEnabled="true"
           URIEncoding="UTF-8" keystorePass="<MY_CERTIFICATE_PASSWORD>"/>

また、お気付きかもしれませんが、Google Chrome などの一部の Web ブラウザーでは、ご使用の SSL が有効なインスタンスへのブラウズに失敗し、次のようなエラーメッセージが表示されます。

A secure connection cannot be established because this site uses an unsupported protocol

ソリューション

  1. Edit the SSL connector in server.xml as follows:

    <Connector port="8443" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslEnabledProtocols="TLSv1,TLSv1.1,TLSv1.2" SSLEnabled="true"
               URIEncoding="UTF-8" keystorePass="<MY_CERTIFICATE_PASSWORD>"/>
  2. Tomcat の旧バージョン (6.0.32 以前) では、 sslEnabledProtocols プロパティは存在しませんでした。JIRA 5.2.11 以前の JIRA を稼働している場合は、SSL コネクターを以下のように編集してください。

    <Connector port="8443" maxHttpHeaderSize="8192"
               maxThreads="150" minSpareThreads="25" maxSpareThreads="75"
               enableLookups="false" disableUploadTimeout="true"
               acceptCount="100" scheme="https" secure="true"
               clientAuth="false" sslProtocols="TLSv1,TLSv1.1,TLSv1.2" SSLEnabled="true"
               URIEncoding="UTF-8" keystorePass="<MY_CERTIFICATE_PASSWORD>"/>
  3. At this point you can start JIRA and use something like SSLScan to verify that connections can only be made through TLS and not SSLv3.
  4. TLSv1.1 および TLSv1.2 を使用するには、Java 7 以上 が必要です。
  5. 複数のプロトコルをサポートしている場合、"sslProtocols" 属性を使用します。

最終更新日: 2016 年 10 月 3 日

この内容はお役に立ちましたか?

はい
いいえ
この記事についてのフィードバックを送信する
Powered by Confluence and Scroll Viewport.