Problemen met CBC-coderingskwetsbaarheid in NCCM 3.8+ en CSPC 2.9+ oplossen

Downloadopties

  • PDF     (248.9 KB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (85.0 KB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (71.1 KB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 juli 2024
Document-id:222118

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriƫntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    In dit document wordt beschreven hoe problemen met CBC-coderingslekken in NCCM 3.8+ en CSPC 2.9+ kunnen worden opgelost.

    Probleem

    In de recente releases van CSPC / NCCM hebben we een CBC-zwakke cijferkwetsbaarheid. In de meeste gevallen kunt u het oplossen door de gewenste ssh-configuratiebestanden bij te werken. Dit artikel is echter aangehaald om hun toegang expliciet te weigeren via crypto-beleid. Gebruik dit als al het andere faalt. Dit kan geen invloed hebben op het standaard crypto-beleid, maar eerder een extra laag bovenop het standaardbeleid toevoegen.

    traditionele aanpak

    Controleer of alle CVC-coderingen uit sshd_config zijn verwijderd. Als het probleem zich blijft voordoen, kunt u een leeg item opgeven voor de parameter onder /etc/sysconfig/sshd.

    CRYPTO_POLICY=

    Zorg ervoor dat u een back-up maakt voordat u wijzigingen aanbrengt.

    Voer deze opdracht uit op het externe systeem om te controleren of dit werkt:

    ssh -vv -oCiphers=aes128-cbc,aes256-cbc 127.0.0.1

    Als u wordt gevraagd om een wachtwoord of het toevoegen van RSA-sleutels, dan blijft het probleem bestaan.

    Oplossing

    Als de vorige procedure mislukt, kunt u een extra laag crypto-beleid toevoegen door expliciet de toegang tot CBC-coderingen te weigeren. We raden niet aan om de standaardconfiguratie van het cryptobeleid te wijzigen, dus deze aanpak wordt geadviseerd.

    Voordat we verder gaan, moet u ervoor zorgen dat er geen extra lagen worden aangebracht bovenop het standaard crypto-beleid. Als er extra lagen zijn, kunt u deze bekijken voordat u wijzigingen aanbrengt. Voer deze opdracht uit om dit te controleren:

    update-crypto-policies --show

    Het antwoord is standaard. Als dit het geval is, kunt u doorgaan met de volgende stappen zonder verdere verificatie.

    Maak een nieuw bestand onder het absolute pad:

    /etc/crypto-policies/policies/modules/DISABLE-CBC.pmod

    U kunt dit bestand op elke manier een naam geven, maar de extensie eindigt op .pmod.

    Aangezien we deze kwetsbaarheid verwijderen om de toegang tot ssh te beperken met behulp van deze cijfers, voert u deze regel in als de enige vermelding in dit nieuwe bestand:

    ssh_cipher = -AES-128-CBC -AES-256-CBC
    note-icon

    Opmerking: dit is alleen ter referentie. U kunt alle cijfers toevoegen die u expliciet probeert te ontkennen, maar het wordt geadviseerd om een nieuw bestand te maken voor een ander cijfer dan CBC om verwarring te voorkomen.

    Nadat u het bestand hebt opgeslagen, stelt u de waarde van het cryptobeleid van STANDAARD in op deze extra laag door deze opdracht uit te voeren:

    update-crypto-policies --set DEFAULT:DISABLE-CBC

    Nogmaals, de waarde DISABLE-CBC kan verschillen op basis van de naam die is opgegeven toen u het bestand hebt gemaakt.

    U kunt het nu opnieuw controleren door uit te voeren:

    update-crypto-policies --show

    Deze keer wordt DEFAULT:DISABLE-CBC weergegeven, waarmee wordt bevestigd dat een extra laag is toegevoegd zonder het standaardbestand te wijzigen.

    In dit stadium, als u de toegang opnieuw verifieert, wordt deze geweigerd:

    ssh -vv -oCiphers=aes128-cbc,aes256-cbc 127.0.0.1

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    1.0
    15-Jul-2024
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Rahul Dang
      Technische projectmanager

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten