原因是绿盟的漏扫爆出 ssl/tls 服务器瞬时 Diffie-Hellman 公共密钥过弱【原理扫描】

ssl_cipher: DHE-RSA-AES128-GCM-SHA256
p: ffffffffffffffffc90fdaa22168c234c4c6628b80dc1cd129024e088a67cc74020bbea63b139b22514a08798e3404ddef9519b3cd3a431b302b0a6df25f14374fe1356d6d51c245e485b576625e7ec6f44c42e9a637ed6b0bff5cb6f406b7edee386bfb5a899fa5ae9f24117c4b1fe649286651ece65381ffffffffffffffff
p_bits: 1024
g: 02
g_bits: 8

使用nmap 的ssl脚本 探测

nmap -sV --script ssl-enum-ciphers -p 8002 192.168.1.102

1. 修复

这边绿盟自带的是apache修复的建议，咋就是说都识别到weblogic的不给修复建议，因为网上没有是吧！真XXX

先停止weblogic服务

1.1. 修改config.xml

找到 weblogic 部署目录下的config/config.xml

具体以自己的为准哦！

编辑配置文件

vim config.xml

按i进入插入模式

在</ssl> 结束标签前 添加

<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA</ciphersuite>
<ciphersuite>TLS_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<ciphersuite>TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256</ciphersuite>
<hostname-verification-ignored>true</hostname-verification-ignored>

按下ESC键 输入:wq 退出保存

1.2. 修改启动文件 setDomainEnv.sh

位置就在上一级目录/bin目录下

编辑setDomainEnv.sh

vim setDomainEnv.sh

按下G 键 (注意是大G，小g是顶部，文件头哦！)快速定位到末尾 就是最后一行。添加下方代码

按i进入插入模式

export JAVA_OPTIONS="$JAVA_OPTIONS -Dweblogic.configuration.schemaValidationEnabled=false"

按下ESC键 输入:wq 退出保存后，正常启动weblogic服务即可

2. 测试修复结果

nmap -sV --script ssl-enum-ciphers -p 8002 192.168.1.102

tlssled 192.168.1.102 8002