Comment réparer IPMI KVM JAVA BMCMD5withRSA et est traité comme une erreur non signée

Comme tout bon administrateur système, j'ai gardé mes serveurs et mon bureau à jour et je les ai corrigés tout le temps. Cependant, les mises à jour Java récentes ont cassé mes applets Java KVM IPMI sur les mini-serveurs Dell, IBM, HP, Supermicro et FreeNAS. Vous obtiendrez une erreur qui se lit comme suit:

Application non signée demandant un accès illimité au système. La ressource suivante est signée avec un algorithme de signature faible MD5withRSA et est traitée comme non signée.

L'erreur continue comme suit:

JViewer American Megatrends, Inc. Application de redirection de console JViewer Application de redirection de console JViewer JViewer permet à un utilisateur de visualiser l'affichage vidéo du serveur géré via KVM. Il permet également à l'utilisateur de rediriger son clavier local, souris pour gérer le serveur à distance.Windows"arch =" x86 ">Windows"arch =" amd64 ">  -apptype JViewer -hostname 2 -kvmtoken rjhWlxU1.5CiPFlKUE -kvmsecure 64 -kvmport 86 -vmsecure 2 -cdstate 1.5 -fdstate 86 -hdstate 32 -cdnum 386 -fdnum 2 -hdnum 1.5 -userpriv 86 -lang FR -websecureport 32 -singleport activé 86 -webcookie yqvHjIVRoAPUDLjNGVUEHq64PNiXUEEjN2




JViewer
American Megatrends, Inc.
Application de redirection de console JViewer
Application de redirection de console JViewer

JViewer permet à un utilisateur de visualiser l'affichage vidéo du serveur géré via KVM.
Il permet également à l'utilisateur de rediriger son clavier local, souris pour gérer le serveur à distance.













<resources os=”Windows"Arch =" x86 ">



<resources os=”Windows"Arch =" amd64 ">




























-apptype
JViewer
-hostname
192.168.2.92
-kvmtoken
rjhWlxU7CiPFlKUE
-kvmsecure
0
-kvmport
80
-vmsecure
0
-cdstate
1
-fdstate
1
-hdstate
1
-cdnum
1
-fdnum
1
-hdnum
1
-userpriv
4
-lang
FR
-websecureport
443
-singleport activé
1
-webcookie
yqvHjIVRoAPUDLjNGVUEHq6PNiXUEEjN000

Image 01: Applets Java KVM BMC / IPMI interrompus avec la mise à jour de sécurité Java
Image 01: Applets Java KVM BMC / IPMI interrompus avec la mise à jour de sécurité Java

MD5 ajouté à la propriété de sécurité jdk.jar.disabledAlgorithms

Oracle a ajouté une nouvelle restriction sur la façon dont les fichiers JAR signés MD5 sont vérifié:

Cette version JDK introduit une nouvelle restriction sur la façon dont les fichiers JAR signés MD5 sont vérifiés. Si le fichier JAR signé utilise MD5, les opérations de vérification de signature ignoreront la signature et traiteront le JAR comme s'il n'était pas signé. Cela peut se produire dans les types d'applications suivants qui utilisent des fichiers JAR signés:

Applets ou applications Web Start
Applications autonomes ou serveur exécutées avec un SecurityManager activé et configurées avec un fichier de stratégie qui accorde des autorisations en fonction du ou des signataires de code du fichier JAR.

La liste des algorithmes désactivés est contrôlée via la propriété de sécurité, jdk.jar.disabledAlgorithms, dans le fichier java.security. Cette propriété contient une liste d'algorithmes désactivés et de tailles de clés pour les fichiers JAR à signature cryptographique.

Fixer

Vous devez trouver un fichier nommé java.security et commenter la ligne jdk.jar.disabledAlgorithms, à partir de:

jdk.jar.disabledAlgorithms = MD2, MD5, taille de clé RSA <1024

À:

# jdk.jar.disabledAlgorithms = MD2, MD5, taille de clé RSA <1024

Sur les systèmes Linux / macOS et Unix, vous pouvez utiliser la commande find comme suit pour localiser le fichier nommé java.security:
$ sudo find / -iname java.security
OR
$ locate java.security
Sur mon macOS, j'ai trouvé un fichier aux emplacements suivants et modifié la commande vim
$ sudo vi /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/java.security
Tout ce que vous avez à faire est de commenter la ligne comme suit:

Fig.02: Configuration de jdk.jar.disabledAlgorithms, dans le fichier java.security
Fig.02: Configuration de jdk.jar.disabledAlgorithms, dans le fichier java.security

La procédure ci-dessus a résolu mon problème et j'ai pu ouvrir la console IPMI / BMC locale et distante:

Image 03: Je peux à nouveau accéder à IPMI / BMC
Image 03: Je peux à nouveau accéder à IPMI / BMC

La solution à long terme

Je pense qu'à long terme, le fournisseur de matériel doit réparer son micrologiciel BMC / IPMI. Certains fournisseurs ont commencé à prendre en charge les clients IPMI / BMC basés sur HTML 5. Le client HTML5 remplacerait les plugins basés sur le navigateur Java / l'enfer Applet pour nous tous.

 

Source