设备漏洞扫描需要修复
漏洞名称:1、SSL 版本 2 和 3 协议检测 2、Telnetd - 远程代码执行 (CVE-2020-10188) 3、使用弱哈希算法签名的 SSL 证书
修复建议:1、查阅应用程序的文档以禁用 SSL 2.0 和 3.0。 2、向供应商咨询解决方案。 3、联系证书颁发机构,请其重新颁发证书。
问题:具体需要在AC设备上如何操作?
设备型号:H3C AC WX2540H
硬件版本:
(0)
最佳答案
建议参考一下:
第一个:
ssl version ssl3.0 disable 把服务端默认允许的ssl 3.0给关掉。
第二个:
undo telnet server enable 关掉telnet,这个服务传输明文不是很安全。视情况可以开启ssh。
第三个:
用ciphersuite命令调整加密套件,把带有它提到的几个算法的套件(MD2、MD4、MD5 或 SHA1)去掉。再不行就要搞新的证书了,那就很麻烦了。
(0)
你好,第三个命令行有相关参考资料吗,麻烦你了
麻烦把第一和第三的查看他们的默认配置的命令行告诉下,太感谢了。
具体的漏洞码发一下
(0)
你好,我提交在下一层,烦请查看下,谢谢。
你好,我提交在下一层,烦请查看下,谢谢。
192.168.12.20 | 443 | N/A | SSL 版本 2 和 3 协议检测 | 远程服务接受使用 SSL
2.0 和/或 SSL 3.0 加密的连接。这些 SSL 版本受到多个加密缺陷的影响,包括: - 采用 CBC 加密方式的不安全填充方案 - 不安全的会话重新协商和恢复方案。 攻击者可利用这些缺陷实施中间人攻击,或者对受影响的服务和客户端之间的通信进行解密。 尽管 SSL/TLS 拥有用于选择协议最高支持版本的安全方法(以便仅在客户端或服务器没有更优版本可以支持的情况下使用这些版本),但许多 Web 浏览器仍然以不安全的方式实现此操作,进而导致攻击者将连接降级(例如 POODLE)因此,建议完全禁用这些协议。 NIST 已确定 SSL 3.0 不再适用于安全通信。自 PCI DSS v3.1 中的强制执行之日起,SSL 的任何版本将不再符合 PCI SSC 的“强加密”定义。 |
Critical | 查阅应用程序的文档以禁用
SSL 2.0 和 3.0。 改用 TLS 1.2(以及经过批准的密码套件)或更高版本。 |
***.***/plugins/nessus/20007 |
192.168.12.20 | 23 | N/A | Telnetd - 远程代码执行 (CVE-2020-10188) | telnetd 中存在缓冲区溢出情况,这是处理短写和紧急数据的服务中边界检查不正确所致。未经身份验证的远程攻击者可利用此问题,通过特别构建的 telnet 程序包,在远程服务器上执行任意代码。 | Critical | 向供应商咨询解决方案。 | ***.***/plugins/nessus/136890 |
192.168.12.20 | 443 | N/A | 使用弱哈希算法签名的 SSL 证书 | 远程服务使用通过密码弱哈希算法(例如
MD2、MD4、MD5 或 SHA1)签名的 SSL
证书链。已知这些签名算法容易遭受碰撞攻击。攻击者可利用此漏洞生成具有相同数字签名的其他证书,从而允许攻击者伪装成受影响的服务。 请注意,该插件将把 2017 年 1 月 1 日之后过期的所有 SHA-1 签名 SSL 证书链报告为漏洞。这符合 Google 逐渐汰换 SHA-1 加密哈希算法的做法。 |
High | 联系证书颁发机构,请其重新颁发证书。 | ***.***/plugins/nessus/35291 |
(0)
升级到最新版本或者禁用telnet和s"sh
undo telnet server enable
undo ssh server enable
undo ip https enable
(0)
如果都关闭了,怎么去维护相关的设置。
如何禁用telnet和开启SSH,还有相关的443端口的问题具体如何处理。
如果都关闭了,怎么去维护相关的设置。
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
麻烦把第一和第三的查看他们的默认配置的命令行告诉下,太感谢了。