Connectrix B 系列:安全漏洞 CVE-2016-2183
摘要: 漏洞 CVE-2016-2183
本文适用于
本文不适用于
本文并非针对某种特定的产品。
本文并非包含所有产品版本。
症状
Connectrix B 系列固件 (FOS) 容易受到 CVE-2016-2183 的影响。
有关 CVE 详细信息的完整信息,请参阅以下链接:
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2016-2183
原因
CVE-2016-2183描述:
TLS、SSH 和 IPSec 协议以及其他协议和产品中使用的 DES 和 Triple DES 密码的生日边界约为 40 亿个块,这使得远程
攻击者更容易通过对长时间加密会话的生日攻击来获取明文数据,如在 CBC 模式下使用 Triple DES 的 HTTPS 会话所示, 又名“Sweet32”攻击。
TLS、SSH 和 IPSec 协议以及其他协议和产品中使用的 DES 和 Triple DES 密码的生日边界约为 40 亿个块,这使得远程
攻击者更容易通过对长时间加密会话的生日攻击来获取明文数据,如在 CBC 模式下使用 Triple DES 的 HTTPS 会话所示, 又名“Sweet32”攻击。
解决方案
来自 Brocade 的声明:
CVE-2016-2183 漏洞已在 FOS 8.2.0 和 Connectrix Manager Converged Network Edition (CMCNE) 14.3.1
中得到修复 根据 Broadcom 的说法,即使是目标路径 7.4.x (7.4.2d/e/f) 也有此缺陷的修复程序,但可能存在在此漏洞中,在运行 7.4.2d 的 DS-300B 交换机上可能会出现此问题的情况。DS-300B 型号无法升级到 FOS 8.2.0。
在这种情况下,建议使用以下步骤删除 DES/3DES 密码:
通过运行以下命令验证 DES/3DES 是否正在使用中:#seccryptocfg --show
请注意,在 SSH 密码列表中,正在使用 3des-cbc,这是一个弱密码,必须将其删除。
通过运行命令 #seccryptocfg --replace -type SSH -cipher aes128-cbc,aes192-cbc,aes256-cbc,删除弱密码
CVE-2016-2183 漏洞已在 FOS 8.2.0 和 Connectrix Manager Converged Network Edition (CMCNE) 14.3.1
中得到修复 根据 Broadcom 的说法,即使是目标路径 7.4.x (7.4.2d/e/f) 也有此缺陷的修复程序,但可能存在在此漏洞中,在运行 7.4.2d 的 DS-300B 交换机上可能会出现此问题的情况。DS-300B 型号无法升级到 FOS 8.2.0。
在这种情况下,建议使用以下步骤删除 DES/3DES 密码:
通过运行以下命令验证 DES/3DES 是否正在使用中:#seccryptocfg --show
下面是命令 #seccryptocfg --show 的输出示例:
>>> admin seccryptocfg --show
HTTPS密码列表:!ECDH:!DH:高:-MD5:!山茶:!SRP:!PSK:!AESGCM
SSH 密码列表 :aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
SSH Kex 算法列表:ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
SSH MAC 列表:hmac-md5,hmac-sha1,hmac-sha2-256,hmac-sha2-512
HTTPS密码列表:!ECDH:!DH:高:-MD5:!山茶:!SRP:!PSK:!AESGCM
SSH 密码列表 :aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
SSH Kex 算法列表:ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1
SSH MAC 列表:hmac-md5,hmac-sha1,hmac-sha2-256,hmac-sha2-512
请注意,在 SSH 密码列表中,正在使用 3des-cbc,这是一个弱密码,必须将其删除。
通过运行命令 #seccryptocfg --replace -type SSH -cipher aes128-cbc,aes192-cbc,aes256-cbc,删除弱密码
其他信息
Brocade建议,为了绝对避免任何潜在风险,用户可能需要避免使用DES/3DES密码。
受影响的产品
Connectrix Manager Converged Network Edition文章属性
文章编号: 000068463
文章类型: Solution
上次修改时间: 18 4月 2026
版本: 4
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。