• 全部
  • 经验案例
  • 典型配置
  • 技术公告
  • FAQ
  • 漏洞说明
  • 全部
  • 全部
  • 大数据引擎
  • 知了引擎
产品线
搜索
取消
案例类型
发布者
是否解决
是否官方
时间
搜索引擎
匹配模式
高级搜索

H3C AC WX2540H 漏洞修复

2022-11-04提问
  • 0关注
  • 0收藏,1580浏览
粉丝:0人 关注:0人

问题描述:

设备漏洞扫描需要修复

漏洞名称:1、SSL 版本 2 和 3 协议检测     2、Telnetd - 远程代码执行 (CVE-2020-10188)    3、使用弱哈希算法签名的 SSL 证书

修复建议:1、查阅应用程序的文档以禁用 SSL 2.0 和 3.0。    2、向供应商咨询解决方案。   3、联系证书颁发机构,请其重新颁发证书。

问题:具体需要在AC设备上如何操作?

设备型号:H3C AC WX2540H

硬件版本:

Ver.B
Bootrom版本:
5.13
软件版本
7.1.064, Release 5439P03

目标端口:443、23


最佳答案

已采纳
粉丝:29人 关注:9人

建议参考一下:

11-SSL命令-新华三集团-H3C


第一个:

ssl version ssl3.0 disable 把服务端默认允许的ssl 3.0给关掉。


第二个:

undo telnet server enable 关掉telnet,这个服务传输明文不是很安全。视情况可以开启ssh。


第三个:

用ciphersuite命令调整加密套件,把带有它提到的几个算法的套件(MD2、MD4、MD5 或 SHA1)去掉。再不行就要搞新的证书了,那就很麻烦了。

麻烦把第一和第三的查看他们的默认配置的命令行告诉下,太感谢了。

zhiliao_UHt6c 发表时间:2022-11-04 更多>>

你好,第三个命令行有相关参考资料吗,麻烦你了

zhiliao_UHt6c 发表时间:2022-11-04
回复zhiliao_UHt6c:

都在上面那个链接里,那是命令手册,所有命令的解释都在里面。

奇怪的流量 发表时间:2022-11-04

麻烦把第一和第三的查看他们的默认配置的命令行告诉下,太感谢了。

zhiliao_UHt6c 发表时间:2022-11-04
3 个回答
刚哥 九段
粉丝:21人 关注:13人

具体的漏洞码发一下

你好,我提交在下一层,烦请查看下,谢谢。

zhiliao_UHt6c 发表时间:2022-11-04 更多>>

你好,我提交在下一层,烦请查看下,谢谢。

zhiliao_UHt6c 发表时间:2022-11-04
zhiliao_UHt6c 知了小白
粉丝:0人 关注:0人

192.168.12.20 443 N/A SSL 版本 2 和 3 协议检测 远程服务接受使用 SSL 2.0 和/或 SSL 3.0 加密的连接。这些 SSL 版本受到多个加密缺陷的影响,包括:

- 采用 CBC 加密方式的不安全填充方案

- 不安全的会话重新协商和恢复方案。

攻击者可利用这些缺陷实施中间人攻击,或者对受影响的服务和客户端之间的通信进行解密。

尽管 SSL/TLS 拥有用于选择协议最高支持版本的安全方法(以便仅在客户端或服务器没有更优版本可以支持的情况下使用这些版本),但许多 Web 浏览器仍然以不安全的方式实现此操作,进而导致攻击者将连接降级(例如 POODLE)因此,建议完全禁用这些协议。

NIST 已确定 SSL 3.0 不再适用于安全通信。自 PCI DSS v3.1 中的强制执行之日起,SSL 的任何版本将不再符合 PCI SSC 的“强加密”定义。
Critical 查阅应用程序的文档以禁用 SSL 2.0 和 3.0。
改用 TLS 1.2(以及经过批准的密码套件)或更高版本。
***.***/plugins/nessus/20007
192.168.12.20 23 N/A Telnetd - 远程代码执行 (CVE-2020-10188) telnetd 中存在缓冲区溢出情况,这是处理短写和紧急数据的服务中边界检查不正确所致。未经身份验证的远程攻击者可利用此问题,通过特别构建的 telnet 程序包,在远程服务器上执行任意代码。 Critical 向供应商咨询解决方案。 ***.***/plugins/nessus/136890
192.168.12.20 443 N/A 使用弱哈希算法签名的 SSL 证书 远程服务使用通过密码弱哈希算法(例如 MD2、MD4、MD5 或 SHA1)签名的 SSL 证书链。已知这些签名算法容易遭受碰撞攻击。攻击者可利用此漏洞生成具有相同数字签名的其他证书,从而允许攻击者伪装成受影响的服务。

请注意,该插件将把 2017 年 1 月 1 日之后过期的所有 SHA-1 签名 SSL 证书链报告为漏洞。这符合 Google 逐渐汰换 SHA-1 加密哈希算法的做法。
High 联系证书颁发机构,请其重新颁发证书。 ***.***/plugins/nessus/35291

粉丝:237人 关注:8人

升级到最新版本或者禁用telnet和s"sh

undo telnet server enable

undo ssh server enable

undo ip https enable

如果都关闭了,怎么去维护相关的设置。

zhiliao_UHt6c 发表时间:2022-11-04 更多>>

如何禁用telnet和开启SSH,还有相关的443端口的问题具体如何处理。

zhiliao_UHt6c 发表时间:2022-11-04
回复zhiliao_UHt6c:

443关闭https服务就可以

zhiliao_sEUyB 发表时间:2022-11-04
回复zhiliao_UHt6c:

参考答案的命令吧

zhiliao_sEUyB 发表时间:2022-11-04

如果都关闭了,怎么去维护相关的设置。

zhiliao_UHt6c 发表时间:2022-11-04

编辑答案

你正在编辑答案

如果你要对问题或其他回答进行点评或询问,请使用评论功能。

分享扩散:

提出建议

    +

亲~登录后才可以操作哦!

确定

亲~检测到您登陆的账号未在http://hclhub.h3c.com进行注册

注册后可访问此模块

跳转hclhub

你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作

举报

×

侵犯我的权益 >
对根叔社区有害的内容 >
辱骂、歧视、挑衅等(不友善)

侵犯我的权益

×

泄露了我的隐私 >
侵犯了我企业的权益 >
抄袭了我的内容 >
诽谤我 >
辱骂、歧视、挑衅等(不友善)
骚扰我

泄露了我的隐私

×

您好,当您发现根叔知了上有泄漏您隐私的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您认为哪些内容泄露了您的隐私?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)

侵犯了我企业的权益

×

您好,当您发现根叔知了上有关于您企业的造谣与诽谤、商业侵权等内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到 pub.zhiliao@h3c.com 邮箱,我们会在审核后尽快给您答复。
  • 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
  • 3. 是哪家企业?(营业执照,单位登记证明等证件)
  • 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

抄袭了我的内容

×

原文链接或出处

诽谤我

×

您好,当您发现根叔知了上有诽谤您的内容时,您可以向根叔知了进行举报。 请您把以下内容通过邮件发送到pub.zhiliao@h3c.com 邮箱,我们会尽快处理。
  • 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
  • 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
我们认为知名企业应该坦然接受公众讨论,对于答案中不准确的部分,我们欢迎您以正式或非正式身份在根叔知了上进行澄清。

对根叔社区有害的内容

×

垃圾广告信息
色情、暴力、血腥等违反法律法规的内容
政治敏感
不规范转载 >
辱骂、歧视、挑衅等(不友善)
骚扰我
诱导投票

不规范转载

×

举报说明