H3C MSR20扫描到有 CVE-2016-2183高危漏洞该怎么处理

放弃吧

这个停产很多年了。。。

洞规避措施：

[H3C]ssl server-policy fxm

[H3C-ssl-server-policy-fxm]ci

[H3C-ssl-server-policy-fxm]ciphersuite ? //选个非EDS，3EDS的算法

  dhe_rsa_aes_128_cbc_sha Cipher suite that uses DHE RSA, 128-bit AES_CBC, and

                           SHA

  dhe_rsa_aes_256_cbc_sha Cipher suite that uses DHE RSA, 256-bit AES_CBC, and

                           SHA

  exp_rsa_des_cbc_sha Export cipher suite that uses RSA, DES_CBC, and SHA

  exp_rsa_rc2_md5 Export cipher suite that uses RSA, RC2, and MD5

  exp_rsa_rc4_md5 Export cipher suite that uses RSA, RC4, and MD5

  rsa_3des_ede_cbc_sha Cipher suite that uses RSA, 3DES_EDE_CBC, and SHA

  rsa_aes_128_cbc_sha Cipher suite that uses RSA, 128-bit AES_CBC, and SHA

  rsa_aes_256_cbc_sha Cipher suite that uses RSA, 256-bit AES_CBC, and SHA

  rsa_des_cbc_sha Cipher suite that uses RSA, DES_CBC, and SHA

  rsa_rc4_128_md5 Cipher suite that uses RSA, 128-bit RC4, and MD5

  rsa_rc4_128_sha Cipher suite that uses RSA, 128-bit RC4, and SHA

重启https服务。

undo ip https enable

ip https enable

方案一：修改 SSL 策略，禁用弱加密算法（推荐）

方案二：关闭 HTTPS 服务，改用 SSH 管理

方案三：升级设备系统软件版本

• 操作建议：建议前往 H3C 官网的服务支持页面，查询 MSR20 的最新固件。升级前请务必阅读版本说明书，并备份好当前的配置文件，建议在业务低峰期进行升级操作。

CVE-2016-2183 是一个关于 SSL/TLS 协议使用了弱加密算法（如 DES、3DES） 的信息泄露漏洞。对于 MSR20 系列路由器，这个问题不需要升级或更换设备，官方推荐的解决方案是通过配置来禁用这些不安全的加密算法。

解决方案：修改 SSL 加密套件策略
这是 H3C 官方推荐的处理方法，通过自定义 SSL 服务策略，禁用 DES、3DES 等有问题的算法，只保留安全的 AES 算法。

⚙️ 详细配置步骤（命令行 CLI）
如果可以通过 SSH 或 Console 口登录设备，请按以下顺序操作：

1. 创建 SSL 服务器端策略并配置安全算法

text
<H3C> system-view
[H3C] ssl server-policy h3c_secure
[H3C-ssl-server-policy-h3c_secure] ciphersuite rsa_aes_128_cbc_sha
[H3C-ssl-server-policy-h3c_secure] ciphersuite rsa_aes_256_cbc_sha
[H3C-ssl-server-policy-h3c_secure] quit
说明：rsa_aes_128_cbc_sha 和 rsa_aes_256_cbc_sha 使用的是安全的 AES 算法。不要选择包含 des、3des、rc4 字样的算法，这些是漏洞的来源。

2. 将策略应用到 HTTPS 服务

先关闭 HTTPS 服务，绑定策略后再重新开启。

text
[H3C] undo ip https enable
[H3C] ip https ssl-server-policy h3c_secure
[H3C] ip https enable
3. （可选）配置访问控制加强安全

如果业务允许，可以限制只允许特定管理 IP 访问 Web 界面，进一步降低风险：

text
[H3C] ip https acl 2000
[H3C] acl number 2000
[H3C-acl-basic-2000] rule permit source 192.168.1.100 0
[H3C-acl-basic-2000] quit
(上述命令中 192.168.1.100 请替换为你的管理电脑IP)

4. 保存配置

text
[H3C] save force
💡 重要提示
IPsec 也需要关注：如果你的 MSR20 使用了 IPsec VPN，建议检查 IKE 提议中的加密算法配置，确保也禁用了 DES 和 3DES，使用 AES 替代。

版本兼容性：你的 MSR20 系列设备完全支持上述 SSL 策略命令。