关于openssl的漏洞和 tomcat中的https服务

跑跑鱼 2014-04-11 02:10:17
看到了openssl的漏洞,就用 OpenSSL“心血”漏洞检查(360提供的) 检测了一下我的系统,检查结果是:未开启HTTPS服务或检测超时,请重新检查。
我的系统环境 运行在tocmat6.0.39中(无Apache),配置了单向https验证(通过java的keytool命令生成的.keystore文件,然后在tomcat中server.xml增加了相关参数配置。未使用ca),而且通过https正常访问。现在的问题是:

1 检测工具竟然提示我未开启https服务
2 我的tomcat中使用了openssl了吗?
3 我使用了fiddler抓圈https包,竟然能抓到明文数据(浏览器未设置代理),啥情况
...全文
832 1 打赏 收藏 转发到动态 举报
写回复
用AI写文章
1 条回复
切换为时间正序
请发表友善的回复…
发表回复
ice13 2014-04-28
  • 打赏
  • 举报
回复
tomcat没有使用openssl,它是自己实现的ssl,所以不受这个漏洞的影响。
Alpha / Beta /Stable 当为发布投票时,审阅者指定他们认为发布已达到的稳定性级别。一个新的主要版本的初始版本通常在几个月的时间内从Alpha过渡到Beta到Stable。但是,稳定级别仅在Java规范发布实现已完成时可用。这意味着在所有其他方面被认为稳定的版本,如果规格不是最终的,仍然可以标记为Beta。 下载页面将始终显示最新的稳定版本和任何新的Alpha或Beta版本(如果存在)。Alpha和Beta版本始终在下载页面上清楚地标记。 稳定性是一个主观判断,你应该总是仔细阅读版本注释任何版本,你打算使用。如果你是一个释放的早期采用者,我们很乐意听到你关于它的稳定性意见,表决部分:它发生在上开发邮件列表。 Alpha版本可能含有大量的规范和/或显著的bug需要未经测试/缺少的功能,并且预计不会稳定地任何时间运行。 Beta版本可能含有一些未经测试的功能和/或一些相对较小的错误。Beta版本预计不会稳定运行。 Stable的版本可能包含少量相对较小的错误。稳定的释放用于生产使用,预计可以稳定运行长时间。 Apache Tomcat 9.x Apache Tomcat上9.x的是发展的当前焦点,它建立在Tomcat 8.0.x和实现了目前草案的Servlet 4.0规范,也将执行 JSP 2.4?,EL 3.1?,目前对WebSocket的1.2? 和JASPIC 1.1 规范工作的一次更新上这些规范为Java EE 8除此之外启动时,它包括以下显著改进: 添加对HTTP / 2的支持(需要APR /本地库) 添加对TLS虚拟主机的支持 添加了对使用JSSE连接器(NIO和NIO2)使用OpenSSL for TLS支持的支持。 Apache Tomcat 8.x 的Apache Tomcat 8.x的建立在Tomcat的7.0.x并实施 的Servlet 3.1,JSP 2.3,EL 3.0 和WebSocket的1.1规格。除此之外,还包括以下重大改进: 单个公共资源实现来替换早期版本提供的多个资源扩展特性。 的Apache Tomcat 8.5.x的支持相同的Servlet,JSP,EL和WebSocket规范的版本的Apache Tomcat 8.0.x. 除此之外,它也实现了JASPIC 1.1规范。还有在许多领域显著变化引擎盖下,从而提高了性能,稳定性和总拥有成本。有关详细信息,请参阅Apache Tomcat 8.5更改日志。 Apache Tomcat 7.x 的Apache Tomcat 7.x的建立在Tomcat6.0.x的改进和实现的Servlet 3.0, JSP 2.2,EL 2.2和 WebSocket的1.1规格。除此之外,它还包括以下改进: Web应用程序内存泄漏检测和预防 提高了Manager和Host Manager应用程序的安全性 通用CSRF保护 支持直接在Web应用程序包含外部内容 重构(连接器,生命周期)和大量的内部代码清理 Apache Tomcat 6.x 的Apache Tomcat 6.x的建立在Tomcat的5.5.x的改进和实现的Servlet 2.5和 JSP 2.1规范。除此之外,它还包括以下改进: 内存使用优化 高级IO功能 重构聚类 Tomcat的6的用户应该知道,Tomcat的团队已经公布了 的生命日期为Tomcat 6.x的结束。Tomcat 6.x的用户应该计划在Tomcat 6.x到达生命周期之前进行升级。 Apache Tomcat 5.x 的Apache Tomcat 5.x的是可以从档案下载。 的Apache Tomcat 5.5.X支持相同的Servlet和JSP规范版本的的Apache Tomcat 5.0.x 还有在许多领域显著变化引擎盖下,从而提高了性能,稳定性和总拥有成本。有关详细信息,请参阅Apache Tomcat 5.5 Changelog。 的Apache Tomcat 5.0.x版在很多方面在Apache Tomcat 4.1的改进,其包括: 性能优化和减少的垃圾收集 重构的应用程序部署器,具有可选的独立部署器,允许在Web应用程序投入生产之前进行验证和编译 使用JMX和管理器Web应用程序完成服务器监视 可扩展性和可靠性增强 改进了Taglibs的处理,包括高级池和标签插件 改进的平台集成,与本机Windows和Unix包装器 使用JMX嵌入 增强的安全管理器支持 集成会话聚类 扩展文档 Apache Tomcat 4.x 的Apache Tomcat 4.x版可以从档案下载。 的Apache Tomcat 4.x的实现了基于全新架构的新的servlet容器(称为卡特琳娜)。4.x的版本实现的Servlet 2.3和JSP 1.2 规范。 的Apache Tomcat 4.1.x的是的Apache Tomcat 4.0.x的的重构,并含有显著增强功能,包括: 基于JMX的管理功能 JSP和Struts的管理Web应用程序 新的Coyote连接器(HTTP / 1.1,AJP 1.3和JNI支持) 重写Jasper JSP页面编译器 性能和内存效率提高 增强了与开发工具集成的管理应用程序支持 自定义Ant任务可以直接从build.xml脚本与管理器应用程序交互 的Apache Tomcat 4.0.x的。Apache Tomcat 4.0.6是旧的生产质量版本。4.0 servlet容器(卡塔利娜)已经从地上爬起来的灵活性和性能开发。4.0版实现了Servlet 2.3和JSP 1.2规范的最终发布版本。根据规范的要求,Apache Tomcat 4.0还支持为Servlet 2.2和JSP 1.1规范构建的Web应用程序,无需更改。 Apache Tomcat 3.x Apache Tomcat上3.X可以从档案下载。 版本3.3是当前生产质量放行了Servlet 2.2和JSP 1.1规范。Apache Tomcat 3.3是Apache Tomcat 3.x体系结构的最新延续; 它比3.2.4更先进,这是“老”的生产质量释放。 版本3.2.4是“旧的”生产质量版本,现在仅在维护模式。 版本3.1.1是旧版本。 所有的Apache Tomcat 3.X版本跟踪其遗产回到原来的Servlet和JSP实现,Sun公司捐赠给Apache软件基金会。该3.X版本都实现了支持Servlet 2.2和JSP 1.1规范。 的Apache Tomcat 3.3.X。版本3.3.2是当前的生产质量版本。它继续在3.2版本开始的重构,并将其转化为其逻辑结论。3.3版本提供了更多的模块化设计,允许通过添加和删除控制servlet请求处理的模块来定制servlet容器。此版本还包含许多性能改进。 的Apache Tomcat 3.2.X。版本3.2自3.1以来增加了几个新功能; 主要的努力是重构内部以提高性能和稳定性。3.2.1版本,如3.1.1,是一个安全补丁。版本3.2.2修复了大量的错误和所有已知的规范合规性问题。版本3.2.3是一个安全更新,关闭一个严重的安全漏洞。版本3.2.4是一个小错误修复版本。所有Apache Tomcat 3.2.3之前版本的用户都应该尽快升级。除了修复关键安全相关的错误,Apache Tomcat 3.2.x分支上的开发已停止。 的Apache Tomcat 3.1.X。3.1版本包含对Apache Tomcat 3.0的几个改进,包括servlet重新加载,WAR文件支持和为IIS和Netscape Web服务器添加的连接器。最新的维护版本3.1.1包含了对安全问题的修复。Apache Tomcat 3.1.x没有进行积极的开发。Apache Tomcat 3.1的用户应该更新到3.1.1以关闭安全漏洞,强烈建议他们迁移到当前的生产版本Apache Tomcat 3.3。 的Apache Tomcat 3.0.x的。初始Apache Tomcat版本。

5,655

社区成员

发帖
与我相关
我的任务
社区描述
Web开发应用服务器相关讨论专区
社区管理员
  • 应用服务器社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧