H3C S7003E交换机，漏洞扫描时发现的漏洞如何修复

漏洞名称

Diffie-Hellman Key Agreement Protocol 资源管理错误漏洞(CVE-2002-20001)(原理扫描)

受影响IP

10.16.9.251

漏洞等级

高危

CVE编号

CVE-2002-20001

CVSS评分

7.5

CNNVD编号

CNNVD-202111-1084

漏洞描述

Diffie-Hellman Key Agreement Protocol是一种密钥协商协议。它最初在 Diffie 和 Hellman 关于公钥密码学的开创性论文中有所描述。该密钥协商协议允许 Alice 和 Bob 交换公钥值，并根据这些值和他们自己对应的私钥的知识，安全地计算共享密钥K，从而实现进一步的安全通信。仅知道交换的公钥值，窃听者无法计算共享密钥。
Diffie-Hellman Key Agreement Protocol 存在安全漏洞，远程攻击者可以发送实际上不是公钥的任意数字，并触发服务器端DHE模幂计算。

修复建议

目前厂商已发布升级补丁以修复漏洞，详情请关注厂商主页： https://github.com/Balasys/dheater。
  - 如果无法使用其他缓解机制并且客户端支持 Diffie-Hellman (ECDHE) 的椭圆曲线变体或 RSA 密钥交换，则应禁用 DHE 密钥交换。 应该考虑 RSA 密钥交换不是前向机密的事实。

  - 限制并发连接的最大数量，例如 远程服务器的配置。 对于 OpenSSH，可以通过“MaxStartups”选项配置此限制，对于其他产品，请参阅相关产品的手册以了解配置可能性。