问

H3C MSR3620 Series路由器漏洞如何修复

1天前提问

0关注
0收藏，43浏览

zhiliao_RGwMmm

zhiliao_RGwMmm 零段

粉丝：0人关注：0人

问题描述：

MSR3620 Series路由器等保网络安全检测出存在“服务器支持 TLS Client-initiated 重协商攻击（CVE-2011-1473)”和“SSL/TLS 服务器瞬时 Diffie-He11man 公共密钥过弱”漏洞，路由器软件版本：version 7.1.064，Release 0707P15,请问有什么方法或者补丁能修复漏洞吗

3 个回答

按时间按赞数

zhiliao_Gixe

zhiliao_Gixe 四段

粉丝：4人关注：9人

修复方案：
1. 优先版本升级
当前R0707P15版本可升级至MSR3620 V7正式版R0707P26及以上，该版本已合入两个漏洞的修复代码，升级前务必备份配置，在业务低峰窗口操作。如需不重启的热补丁，可联系H3C 400获取对应版本的专属热补丁。
2. 临时配置规避（无需升级）
进入SSL策略视图
ssl policy <自定义策略名>
关闭客户端主动重协商，修复CVE-2011-1473
undo ssl client-renegotiation enable
配置DH密钥长度为2048位，修复DH密钥过弱
ssl dh-parameter 2048
仅启用强加密套件，禁用弱套件
ssl cipher-suite ecdhe-rsa-aes256-gcm-sha384 ecdhe-rsa-aes128-gcm-sha256 aes-256-gcm aes-128-gcm
绑定策略到所有SSL相关服务（HTTPS/SSL VPN等），例：
ip https ssl-policy <自定义策略名>
ssl vpn context <vpn上下文名> ssl-policy <自定义策略名>
配置后复测即可通过等保检测。

暂无评论

刘浩存

刘浩存八段

粉丝：13人关注：1人

你提到的这两个漏洞，都可以在不升级系统的情况下，通过修改设备的配置来修复。

漏洞分析与配置修复方案

这两个漏洞的核心成因及相应的配置修复方案如下：

漏洞	核心成因	配置修复方案	关键命令/操作
CVE-2011-1473 (TLS Client-initiated 重协商攻击)	设备默认开启了SSL重协商功能，攻击者可利用此特性发起DoS攻击或绕过某些安全限制。	关闭SSL重协商功能。	`ssl renegotiation disable`
SSL/TLS 服务器瞬时 Diffie-Hellman 公共密钥过弱	设备使用的SSL加密套件中包含了不安全的DHE（临时Diffie-Hellman）算法，其密钥强度通常为1024位或更低，存在被破解的风险。	修改SSL服务器策略，移除包含DHE的弱加密算法。	1. `ssl server-policy <策略名>` 2. `ciphersuite rsa_aes_128_cbc_sha rsa_aes_256_cbc_sha ...` （注意：不要包含任何以 `dhe_` 开头的算法）

详细配置步骤

1. 修复 CVE-2011-1473 (SSL重协商攻击)

此步骤非常简单，但需要注意它对系统性能有轻微影响。

<H3C> system-view

[H3C] ssl renegotiation disable2. 修复 Diffie-Hellman 公钥过弱

创建SSL服务器策略并禁用弱算法：进入系统视图，创建一个SSL服务器策略（例如名为fix_dhe），然后指定其加密套件。关键点是确保命令中不要包含任何以 dhe_ 开头的算法。
<H3C> system-view
[H3C] ssl server-policy fix_dhe
[H3C-ssl-server-policy-fix_dhe] ciphersuite rsa_aes_128_cbc_sha rsa_aes_256_cbc_sha
你也可以输入 ciphersuite ? 查看设备支持的完整算法列表，选择安全的算法组合。
将策略应用到HTTPS服务：为使新策略生效，需要重启HTTPS服务并引用此策略。注意：重启服务会导致Web管理界面短暂中断。
[H3C] undo ip https enable
[H3C] ip https ssl-server-policy fix_dhe
[H3C] ip https enable
（可选）应用到其他SSL服务：如果你的设备还开启了其他SSL服务（如SSL VPN），也需要在相应的配置中引用此安全策略。例如，对于SSL VPN，可能需要进入其Context视图进行类似操作。