отмена
Отображаются результаты для 
Вместо этого искать 
Вы имели в виду: 
Объявления
Добро пожаловать в Сообщество Технической поддержки Cisco. Мы рады получить обратную связь .
New Member

X.509 Certificate Signature Collision Vulnerability, CVE-2004-2761

Добрый день!

На коммутаторе Cisco Catalyst 3750 найдена уязвимость:

X.509 Certificate Signature Collision Vulnerability, CVE-2004-2761

Port: tcp/443

The certificate signature algorithm used is susceptible to a

collision attack. This vulnerability can allow attackers to conduct

spoofing attacks.

This finding is based on version information which may not have

been updated by previously installed patches (e.g., Red Hat "back

ports"). Please submit a "Patched Service" dispute in TrustKeeper

if this vulnerability has already been patched.

CVE: CVE-2004-2761

NVD: CVE-2004-2761

CVSSv2: AV:N/AC:L/Au:N/C:N/I:P/A:N

Service: http

Reference: http://www.kb.cert.org/vuls/id/836068

Evidence:

Subject: /CN=IOS-Self-Signed-Certificate-240218887

Issuer: /CN=IOS-Self-Signed-Certificate-240218887

Certificate Chain Depth: 0

Certificate Signature Algorithm: md5WithRSAEncryption

Remediation:

Update all certificates to use a secure hash function such as SHA-1 as it's signature algorithm.

Подскажите, пожалуйста, как возможно ее устранить?

3 ОТВЕТ.

X.509 Certificate Signature Collision Vulnerability, CVE-2004-27

А вы пользуетесь HTTPS на этом свитче?
И есть ли к нему доступ из недоверенных сетей (интернет к примеру)?

А так - дефект https://tools.cisco.com/bugsearch/bug/CSCsw90626 , метод устранения там указан. Но если HTTPS не нужен, то проще сказать "no ip http secure-server".

New Member

X.509 Certificate Signature Collision Vulnerability, CVE-2004-27

Дмитрий,спасибо за ответ,

нет, HTTPS интерфейсом на свитче не пользуюсь.

"Certificate Signature Algorithm" используется только для веб интерфейса свитча?

Мой свитч С3750G-12S версия 12.2(35)SE5 не поддерживает команду "crypto"

я не уверен, что последняя версия для данной линейки свитчей - 12.2(55)SE5 поддерживает комманду "crypto", и я смогу настроить следующее:

config terminal

crypo pki server


shutdown
hash [sha1|sha256|sha384|sha512}
no shutdown



X.509 Certificate Signature Collision Vulnerability, CVE-2004-27

В данном случае - да, мог бы использоваться только для вебморды.

А откуда информация о уязвимости? Какой-то сканер сказал?

Ну в общем попробуйте на него стукнуться по HTTPS. Если не удастся - проблемы нет. Если удастся, то no ip http secure-server, и проблемы нет.

В любом случае, эта уязвимость - из тех, на которые стоит смотреть лишь когда есть реальный риск атаки.

251
Просмотры
0
Полезный материал
3
Ответы