Nmap显示CCM易受SWEET32攻击

下载选项

  • PDF     (298.8 KB)
    在各种设备上使用 Adobe Reader 查看
  • ePub     (252.1 KB)
    在 iPhone、iPad、Android、Sony Reader 或 Windows Phone 上使用各种应用查看
  • Mobi (Kindle)     (142.8 KB)
    在 Kindle 设备上查看或在多个设备上使用 Kindle 应用查看
已更新: 2017 年 9 月 25 日
文档 ID:212151

非歧视性语言

此产品的文档集力求使用非歧视性语言。在本文档集中,非歧视性语言是指不隐含针对年龄、残障、性别、种族身份、族群身份、性取向、社会经济地位和交叉性的歧视的语言。由于产品软件的用户界面中使用的硬编码语言、基于 RFP 文档使用的语言或引用的第三方产品使用的语言,文档中可能无法确保完全使用非歧视性语言。 深入了解思科如何使用包容性语言。

关于此翻译

思科采用人工翻译与机器翻译相结合的方式将此文档翻译成不同语言,希望全球的用户都能通过各自的语言得到支持性的内容。 请注意:即使是最好的机器翻译,其准确度也不及专业翻译人员的水平。 Cisco Systems, Inc. 对于翻译的准确性不承担任何责任,并建议您总是参考英文原始文档(已提供链接)。

    简介

    本文档介绍Nmap显示Cisco Call Manager(CCM)易受SWEET32攻击的问题。

        

    问题

    运行Nmap 4.70+时,您会看到有关三重数据加密标准(3DES)和IDEA的警告消息,这些消息显示它易受SWEET32攻击。

    nmap -sV --script ssl-enum-ciphers -p 443 <ip_of_ccm>

    第64周的加密易受名为Sweet32的攻击。新版Nmap将包括检查是否启用了易受攻击的密码。因此,在CCM上运行Nmap扫描会显示以下警告:

    64-bit block cipher 3DES vulnerable to SWEET32 attack

    64-bit block cipher IDEA vulnerable to SWEET32 attack

    解决方案

    此问题与CloudCenter不直接相关,而是与CloudCenter使用的Tomcat服务器有关。应注意,Nmap扫描不表示虚拟机(VM)易受攻击,而只是表示它使用易受攻击的密码。为了使此攻击成功,Nmap不测试,还需要设置其他变量。

    核心票;CORE-15086已创建。该解决方案仍在处理中,OpenSSL 1.1.0+版本将更新,这进而会修补该缺陷。

    工程部门已声明可以安全地忽略错误消息,但是,如有需要,可以采取解决方法。

    安全外壳(SSH)连接到CCM。

    打开/usr/local/tomcat/conf/server.xml

    向下滚动,直到找到以<Connector port="10443"开头的部分

    以SSLCipherSuite=开头的行列出了允许和不允许的密码。

    在每行末尾添加:!3DES:!IDEA  

    启动Tomcat后,3DES和IDEA将不再使用,因此Nmap?扫描将不再报告任何警告。

    注意:此解决方法尚未测试兼容性,某些用户可能无法再连接到CCM用户界面(UI)。 使用Windows XP和运行IE v8的用户可能无法再连接。但是,它尚未经过测试。

    TAC Authored

    由思科工程师提供

    • Jesse Lafuenti
      Cisco TAC Engineer

    此文档是否有帮助?

    Feedback反馈

    联系我们

    本文档适用于以下产品