المقدمة
يصف هذا المستند السيناريوهات التي تتوقف فيها صفحات ويب مركز الذكاء الموحد (CUIC) من Cisco عن التحميل على Internet Explorer (IE) بعد تثبيت تحديثات قاعدة معارف Microsoft (KB).
تقدم المقالة أيضا الحلول / الحلول المحتملة من وجهة نظر الهيئة.
المتطلبات الأساسية
المتطلبات
cisco يوصي أن يتلقى أنت معرفة على هذا موضوع:
- إدارة Windows
- إدارة CUIC وتكوينه
المكونات المستخدمة
تستند المعلومات الواردة في هذا المستند إلى إصدارات البرامج التالية:
- Cisco Unified Intelligence Center 10.5(1)
- Cisco Unified Intelligence Center 10.x
- Cisco Unified Intelligence Center 9.1(x)
- نظام التشغيل Windows 7 أو 8
- Internet Explorer 11
تم إنشاء المعلومات الواردة في هذا المستند من الأجهزة الموجودة في بيئة معملية خاصة. بدأت جميع الأجهزة المُستخدمة في هذا المستند بتكوين ممسوح (افتراضي). إذا كانت شبكتك مباشرة، فتأكد من فهمك للتأثير المحتمل لأي أمر.
السيناريو
- CUIC الإصدار 9.1(1) أو CUIC الإصدار 10.5(1)
- Internet Explorer (IE) 11 على نظام التشغيل Windows 7 أو Windows 8
- تثبيت KB3161639 على Windows 7/8
- تشغيل إرتباط CUIC على Internet Explorer - http://<CUIC Host Address>/CUIC
يتم مطالبة هذا الأمر برسالة الخطأ كما هو موضح في الصورة:
تحليل
أضافت Microsoft مجموعات التشفير الجديدة، كما هو موضح في الصورة، كجزء من مجموعة تحديث يونيو 2016 KB3161608.
كجزء من KB3161639، تتم إضافة TLS_DHE_RSA_WITH_AES_128_CBC_SHA وTLS_DHE_RSA_WITH_AES_256_CBC_SHA إلى مجموعات التشفير ويتم تغيير ترتيب الأولوية الافتراضي لمجموعات التشفير في نظام التشغيل Windows.
ولهذا السبب، إذا كانت أجهزة العميل تحتوي على التحديثات المذكورة أعلاه، فإنها تميل إلى الاتصال باستخدام TLS_DHE_RSA_WITH_AES_128_CBC_SHA مع خادم CUIC Tomcat (كما يتم تحديد TLS_DHE_RSA_WITH_AES_128_CBC_SHA في تكوين موصل CUIC Tomcat).
ومع ذلك، فإن الاتصال باستخدام تشفير TLS_DHE_RSA_WITH_AES_128_CBC_SHA لا يعمل. وذلك بسبب الحد الأدنى لمتطلبات 1024 بت لمفاتيح Diffie Hellman Exchange (DHE) التي يتم فرضها بواسطة Microsoft لإصلاح هجوم Logjam.
يحتوي CUIC حتى الإصدار 11.x على إصدارات Java 6 التي تدعم مفاتيح 768 بت فقط. وهكذا، يمكن ان يسبب ذلك فشلا في المصافحة.
الحل
لا ينطبق هذا على CUIC 11.0(1) حيث تم حل هذه المشكلة. بالنسبة للإصدارين 9.1(1) و 10.x من CUIC، يتم حل هذا الأمر من خلال ملف SSL COP المفتوح المتاح هنا
كجزء من عنصر التحكم في OpenSSL، يتم إزالة دعم تشفير Diffie-Hellman (DHE) من موصل CUIC Tomcat عن طريق إزالة TLS_DHE_RSA_WITH_AES_128_CBC_SHA لمنع هجوم Logjam.