华三交换机漏洞问题
- 0关注
- 1收藏,2610浏览
问题描述:
漏洞详情: “SSL/TLS 服务器 Diffie-Hellman 公共密钥过弱漏洞”,当服务器SSL/TLS的瞬时Diffie-Hellman公共密钥小于等于1024位时,存在可以恢复纯文本信息的风险,例如可获取到开发框架、算法等信息。 解决方案: (1)http服务器相关配置 1)生成大于1024bit(例如2048bit)的dhkey,openssl dhparam -out dhparams.pem 2048 2)在对应服务器中配置: Apache2.4.8及以后版本:使用如下配置命令配置(http.conf中或者对应的虚拟主机配置文件中添加)SSLOpenSSLConfCmd DHParameters "{path to dhparams.pem}" Apache2.4.7版本、Apache2.2.31版本及以后版本、redhat debian等大多发行版中最新Apache2.2.x:通过把dhparams.pem的内容直接附加到证书文件后 Apache2.4.7之前2.4.x版本、Apache2.2.31之前版本:dhparam默认为1024bit 无法修改 nginx使用如下命令配置(在对应的虚拟主机配置文件nginx.conf中server字段内添加)ssl_dhparam {path to dhparams.pem} (2)如果服务器配置无法修改,例如Apache2.2.31之前版本,可以禁用DHE系列算法,采用保密性更好的ECDHE系列算法,如果ECDHE不可用可以采用普通的 RSA。
组网及组网描述:
请问如何修复这个漏洞,解决方案看不懂,是要升级交换机软件版本的意思吗?
- 2022-08-28提问
- 举报
-
(0)
https://www.h3c.com/cn/d_202208/1661654_30005_0.htm#_Toc110490550
配置非对称加密算法的时候,将密钥位数设置为2048
- 2022-08-28回答
- 评论(0)
- 举报
-
(0)
暂无评论
这个再配置SSH登录的适合,选择2048位加密算法就行了
(1) 配置Stelnet服务器
# 生成RSA密钥对。
<AC> system-view
[Switch] public-key local create rsa
The range of public key size is (512 ~ 2048).
If the key modulus is greater than 512, it will take a few minutes.
Press CTRL+C to abort.
Input the modulus length [default = 1024]: 这个地方选择2048
Generating Keys...
........................++++++
...................++++++
..++++++++
............++++++++
Create the key pair successfully.
- 2022-08-28回答
- 评论(0)
- 举报
-
(0)
暂无评论
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
暂无评论