Connectrix MDS : un logiciel de sécurité tiers signale que les commutateurs MDS acceptent la connexion TLS1.0.
Summary: Lorsque des logiciels de sécurité tiers s’exécutent sur des commutateurs MDS, ils peuvent signaler que les commutateurs MDS acceptent les connexions TLS1.0.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Lorsque des logiciels de sécurité tiers s’exécutent sur des commutateurs MDS, ils peuvent signaler que les commutateurs MDS acceptent les connexions TLS1.0.
Conditions :
Conditions :
- Détecté dans MDS 9710 version 8.3.2, peut s’appliquer à d’autres versions.
- Applicable lorsque le client utilise NXAPI, un serveur HTTP et/ou SSH
Cause
Il s’agit d’un faux positif, nous avons clarifié du côté de la plate-forme (mêmes matériel et firmware) en mode débogage que les versions TLS inférieures ne sont pas activées au niveau du noyau, nous pouvons ignorer ces alertes à partir des outils tiers.
Test sur MDS 9148S avec firmware 8.4(1a) ne montrant aucune présence de TLS 1 ou 1.1Linux(debug)# openssl ciphers -v | awk '{print $2}' | sort | uniqSSLv3TLSv1.2
Resolution
Solution de contournement :
- Pour NXAPI, configurez manuellement les versions TLS utilisées :
switch(config)# nxapi ssl protocols TLSv1.1 TLSv1.2 << (Run to enable TLSv1.1 TLSv1.2)
switch(config)# no nxapi ssl protocols TLSv1 << (Run to disable TLSv1)
- Pour le serveur HTTP/HTTPS, désactivez le serveur
Config
No feature http-server
Copy run start
Ces commandes sans interruption n’ont aucun impact sur DCNM.
Le serveur http/https est uniquement utilisé pour télécharger le Gestionnaire de périphériques.
Remarque :la désactivation du serveur http désactive le serveur https.
Additional Information
À l’aide des protocoles « nxapi ssl TLSv1.1/TLSv1.2 », nous pouvons activer la version requise, ce qui signifie que nous avons désactivé d’autres versions.
Remarque : à partir de la version 8.3(1) de Cisco NX-OS, TLS1.0 est désactivé par défaut. L’exécution de cette commande active les versions TLS spécifiées dans la chaîne, y compris TLS1.0 qui a été désactivé par défaut, si nécessaire. La forme no de la commande la rétablit par défaut (par défaut, seuls TLS1.1 et TLS1.2 seront activés).
Remarque : à partir de la version 8.3(1) de Cisco NX-OS, TLS1.0 est désactivé par défaut. L’exécution de cette commande active les versions TLS spécifiées dans la chaîne, y compris TLS1.0 qui a été désactivé par défaut, si nécessaire. La forme no de la commande la rétablit par défaut (par défaut, seuls TLS1.1 et TLS1.2 seront activés).
Affected Products
Connectrix MDS-9710, Connectrix MDS-9710-V2Article Properties
Article Number: 000185920
Article Type: Solution
Last Modified: 29 Aug 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.