توضح NMAP أن CCM عرضة لهجوم SWEET32

خيارات التنزيل

  • PDF     (406.5 KB)
    عرض باستخدام Adobe Reader على مجموعة متنوعة من الأجهزة
  • ePub     (253.8 KB)
    العرض في تطبيقات مختلفة على iPhone أو iPad أو نظام تشغيل Android أو قارئ Sony أو نظام التشغيل Windows Phone
  • Mobi (Kindle)     (145.0 KB)
    عرض على جهاز Kindle أو تطبيق Kindle على أجهزة متعددة
تم التحديث:٢٥ سبتمبر ٢٠١٧
معرّف المستند:212151

لغة خالية من التحيز

تسعى مجموعة الوثائق لهذا المنتج جاهدة لاستخدام لغة خالية من التحيز. لأغراض مجموعة الوثائق هذه، يتم تعريف "خالية من التحيز" على أنها لغة لا تعني التمييز على أساس العمر، والإعاقة، والجنس، والهوية العرقية، والهوية الإثنية، والتوجه الجنسي، والحالة الاجتماعية والاقتصادية، والتمييز متعدد الجوانب. قد تكون الاستثناءات موجودة في الوثائق بسبب اللغة التي يتم تشفيرها بشكل ثابت في واجهات المستخدم الخاصة ببرنامج المنتج، أو اللغة المستخدمة بناءً على وثائق RFP، أو اللغة التي يستخدمها منتج الجهة الخارجية المُشار إليه. تعرّف على المزيد حول كيفية استخدام Cisco للغة الشاملة.

حول هذه الترجمة

ترجمت Cisco هذا المستند باستخدام مجموعة من التقنيات الآلية والبشرية لتقديم محتوى دعم للمستخدمين في جميع أنحاء العالم بلغتهم الخاصة. يُرجى ملاحظة أن أفضل ترجمة آلية لن تكون دقيقة كما هو الحال مع الترجمة الاحترافية التي يقدمها مترجم محترف. تخلي Cisco Systems مسئوليتها عن دقة هذه الترجمات وتُوصي بالرجوع دائمًا إلى المستند الإنجليزي الأصلي (الرابط متوفر).

    المقدمة

    يصف هذا المستند مشكلة حيث تظهر NMAP أن مدير المكالمات (CCM) من Cisco قابل لهجوم SWEET32.

        

    المشكلة

    عندما تقوم بتشغيل NMAP 4.70+، سترى رسائل تحذيرية حول المعيار الثلاثي لتشفير البيانات (3DES) وفكرة تظهر أنه معرض ل SWEET32.

    nmap -sV --script ssl-enum-ciphers -p 443 <ip_of_ccm>

    تم العثور على تشفيرات الأسبوع 64 بت قابلة لهجوم يعرف باسم Sweet32. ستحتوي الإصدارات الجديدة من NMAP على فحص لمعرفة ما إذا تم تمكين أي شفرة قابلة للتأثر. ولهذا السبب، يعرض تشغيل مسح NMAP على CCM هذا التحذير:

    64-bit block cipher 3DES vulnerable to SWEET32 attack

    64-bit block cipher IDEA vulnerable to SWEET32 attack

    الحل

    لا تتعلق هذه المشكلة مباشرة ب CloudCenter، ولكن خادم Tomcat الذي يستخدمه CloudCenter. وتجدر الإشارة إلى أن المسح الضوئي الذي أجرته "NMAP" لا ينص على أن الجهاز الظاهري (VM) معرض للهجوم، بل إنه يذكر فقط أنه يستخدم شفرة معرضة للخطر. هناك متغيرات أخرى مطلوب أن تكون موجودة لكي ينجح هذا الهجوم الذي لا تقوم NMAP باختباره.

    تذكرة أساسية، تم إنشاء CORE-15086 فيما يتعلق بهذا الأمر. لا يزال الحل قيد المعالجة ويتم تحديث إصدار OpenSSL 1.1.0+ الذي سيقوم بدوره بتصحيح الخلل.

    صرحت Engineering أنه يمكن تجاهل رسالة الخطأ بشكل آمن، ومع ذلك، يوجد حل بديل إذا لزم الأمر.

    القشرة الآمنة (SSH) في CCM.

    افتح /usr/local/tomcat/conf/server.xml.

    قم بالتمرير لأسفل حتى تجد المقطع الذي يبدأ ب <منفذ الموصل="10443".

    يسرد السطر الذي يبدأ ب SSLCipherSuite= الشفرات المسموح بها وغير المسموح بها.

    في نهاية كل سطر من هذه الأسطر يضاف: !3DES:!IDEA  

    بعد بدء تشغيل Tomcat، لن يتم إستخدام 3DES و IDEA بعد الآن، وبالتالي لن يقوم Nmap بالمسح الضوئي بالإبلاغ عن أية تحذيرات.

    ملاحظة: لم يتم إختبار هذا الحل البديل للتوافق وقد لا يعود بإمكان بعض المستخدمين الاتصال بواجهة مستخدم CCM (UI). قد يتعذر على المستخدمين الذين لديهم نظام التشغيل Windows XP وأولئك الذين يقومون بتشغيل IE V8 الاتصال بعد الآن. غير أنه لم يتم إختباره.

    TAC Authored

    تمت المساهمة بواسطة مهندسو Cisco

    • Jesse Lafuenti
      مهندس TAC من Cisco

    هل كان هذا المستند مفيدًا؟

    Feedbackالتعليقات

    اتصل بنا

    ينطبق هذا المستند على هذه المنتجات