Connectrix MDS Series: SSL 또는 TLS 서버는 전송 계층 보안 TLS1.1을 지원합니다.

"SSL(Secure Sockets Layer) 또는 TLS(Transport Layer Security) 서버에서 TLSv1.1(Transport Layer Security)을 지원함"

Threat: The scan target supports version 1.1 of the TLS protocol. That version is in the process of being deprecated and is no longer recommended. Instead the newer versions 1.2 and/or 1.3 should be used. The TLSv1.1 protocol itself does not have any currently exploitable vulnerabilities. However some vendor implementations of TLSv1.1 have weaknesses which may be exploitable. This QID is posted as potential, when servers require client certificates and we cannot complete the handshake.

Results: TLSv1.1이 지원됩니다.

Solution: Disable the use of TLSv1.1 protocol in favor of a cryptographically stronger protocol such as TLSv1.2.
The following openssl commands can be used to do a manual test: openssl s_client -connect ip:port -tls1_1
If the test is successful, then the target support TLSv1.1.

아래 스위치의 명령에서 출력을 캡처합니다.

`show file volatile:///nxapi.log`

HTTPS port is 8443
Options gathered - vdc: 1, servers: 4, http: -1, https: 8443,
cert: /var/nginx/cert/server.crt_vdc_1, key: /var/nginx/cert/server.key_vdc_1, sandbox: false, protocols: TLSv1.2, ciphers: false

즉, TLS 1.0 및 1.1이 비활성화되고 TLSv1.2가 스위치에서 활성화됩니다. 따라서 취약점은 거짓 양성으로 결론을 내릴 수 있습니다.

여전히 TLSv1 및 TLSv1.1을 허용하는 경우 사용되는 TLS 버전을 수동으로 구성할 수 있습니다.

switch(config)# nxapi ssl protocols TLSv1.2          <--To enable TLSv1.2

switch(config)# no nxapi ssl protocols TLSv1         <--To disable TLSv1-disabling TLSv1 removes TLS 1.0 and 1.1.