2018年新出服务器sslv1-3漏洞(此漏洞为微软操作系统漏洞并非动易系统漏洞)，漏洞详情:

以下是一个会受到Padding Oracle影响的信道：

A和C沟通，其中含有敏感数据使用SSLv3加密；

有一个中间人B代理A和C的通信，其中A和B采用明文传输例如http协议(但A不会发送任何敏感数据到B)；

B可以让A对C发出多次请求(比如通过脚本化)并且可以通过控制脚本来控制A发出的请求包的长度和敏感信息的位置(请见技术分析中阐述的一个web请求实例)；

B可以截获并修改A发送到C的SSL记录(如果B本身既是代理也是A的出口网关)。

处理方法:

在应用服务器中的server.xml中替换为以下代码

1. disableUploadTimeout="true" enableLookups="false" maxThreads="25" 
2.  
3. keystoreFile="d:tomcat.keystore" keystorePass="111111" 
4.  
5. protocol="org.apache.coyote.http11.Http11NioProtocol" scheme="https" URIEncoding="utf-8" 
6.  
7. ciphers="SSL_RSA_WITH_RC4_128_SHA,TLS_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_RSA_WITH_AES_128_CBC_SHA,TLS_DHE_DSS_WITH_AES_128_CBC_SHA,SSL_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_RSA_WITH_3DES_EDE_CBC_SHA,SSL_DHE_DSS_WITH_3DES_EDE_CBC_SHA" 
8.  
9. secure="true" sslProtocol="TLS" sslEnabledProtocols="TLSv1" 
10.  
11. />