Kako odpraviti IPMI KVM JAVA BMCMD5vRRS in se obravnava kot nepodpisana napaka

Kot vsi dobri sysadmin, sem stalno vzdrževal svoje strežnike in namizno stran ter ves čas spremljal. Vendar so nedavne posodobitve Java prekinile moje IPMI KVM Java Applets na Dell, IBM, HP, Supermicro in FreeNAS mini strežnikih. Dobili boste napako, ki se glasi:

Nepodpisana aplikacija, ki zahteva neomejen dostop do sistema. Naslednji vir je podpisan s šibkim podpisnim algoritmom MD5 zRSA in se obravnava kot nepodpisano.

Napaka se nadaljuje, kot sledi:

 JViewer American Megatrends, Inc. Aplikacija za preusmeritev konzole JViewer Aplikacija za preusmeritev konzole JViewer JViewer uporabniku omogoča ogled video prikaza upravljanega strežnika prek KVM. Uporabniku omogoča tudi preusmeritev lokalne tipkovnice in miške za upravljanje strežnika na daljavo.Windows"arch =" x86 ">Windows"arch =" amd64 ">  -apptype JViewer -ime gostitelja 2 -kvmtoken rjhWlxU1.5CiPFlKUE -kvmsecure 64 -kvmport 86 -vmsecure 2 -cdstate 1.5. -fdstate 86. -hdstate 32. -cdnum 386. -fdnum 2. -hdnum 1.5. -userpriv 86. -jezik SL -websecureport 32 -seleportenabled 86. -spletni piškotek yqvHjIVRoAPUDLjNGVUEHq64PNiXUEEjN2




JViewer
American Megatrends, Inc.
Aplikacija za preusmeritev konzole JViewer
Aplikacija za preusmeritev konzole JViewer

JViewer omogoča uporabniku, da si ogleda video prikaz upravljanega strežnika prek KVM.
Prav tako omogoča uporabniku, da preusmeri svojo lokalno tipkovnico, miško za upravljanje strežnika na daljavo.













<resources os=”Windows”Arch =” x86 ″>



<resources os=”Windows”Arch =” amd64 ″>




























-apptype
JViewer
-ime gostitelja
192.168.2.92
-kvmtoken
rjhWlxU7CiPFlKUE
-kvmsecure
0
-kvmport
80
-vmsecure
0
-cdstate
1
-fdstate
1
-hdstate
1
-cdnum
1
-fdnum
1
-hdnum
1
-userpriv
4
-jezik
SL
-websecureport
443
-seleportenabled
1
-spletni piškotek
yqvHjIVRoAPUDLjNGVUEHq6PNiXUEEjN000

Fig.01: BMC / IPMI KVM Java Applets, prekinjen z varnostno posodobitvijo Java
Fig.01: BMC / IPMI KVM Java Applets, prekinjen z varnostno posodobitvijo Java

MD5 dodan jdk.jar.disabledAlgorithms Security property

Oracle je dodal novo omejitev, kako MD5 podpiše JAR datoteke preverjeno:

Ta javna izdaja JDK uvaja novo omejitev, kako se potrdi MD5 podpisanih JAR datotek. Če podprta JAR datoteka uporablja MD5, bodo operacije preverjanja podpisa prezrile podpis in obravnavale JAR, kot če bi bilo to nepodpisano. To se lahko pojavlja pri naslednjih vrstah aplikacij, ki uporabljajo podpisane JAR datoteke:

Applets ali aplikacije za zagon spletnih mest
Samostojne ali strežniške aplikacije, ki se izvajajo z omogočenim varnostnim programom, so konfigurirane z datoteko pravilnika, ki podeljuje dovoljenja na podlagi podpisovalnika (-ov) kode v datoteki JAR.

Seznam onemogočenih algoritmov je nadzorovan preko varnostne lastnosti, jdk.jar.disabledAlgorithms, v datoteki java.security. Ta lastnost vsebuje seznam onemogočenih algoritmov in velikosti ključev za kriptografsko podpisane datoteke JAR.

fiksna

Morate najti datoteko z imenom java.security in komentirati jdk.jar.disabledAlgorithms vrstico, od:

jdk.jar.disabledAlgorithms = MD2, MD5, RSA keySize <1024

Na:

# jdk.jar.disabledAlgorithms = MD2, MD5, RSA keySize <1024

V sistemu Linux / MacOS in Unix lahko uporabite ukaz find le, če želite poiskati datoteko z imenom java.security:
$ sudo find / -iname java.security
OR
$ locate java.security
V mojem MacOS-u sem našel datoteko na naslednjih lokacijah in uredil ukaz vim
$ sudo vi /Library/Internet Plug-Ins/JavaAppletPlugin.plugin/Contents/Home/lib/security/java.security
Vse, kar morate storiti, je, da napišete vrstico na naslednji način:

Fig.02: Konfiguriranje jdk.jar.disabledAlgorithms, v datoteki java.security
Fig.02: Konfiguriranje jdk.jar.disabledAlgorithms, v datoteki java.security

Zgornji postopek je odpravil moj problem in sem lahko odprl lokalno in oddaljeno IPMI / BMC konzolo:

Fig.03: Ponovno lahko dostopam do IPMI / BMC
Fig.03: Ponovno lahko dostopam do IPMI / BMC

Dolgoročna rešitev

Dolgoročno mislim, da mora prodajalec strojne opreme popraviti svojo strojno programsko opremo BMC / IPMI. Nekateri ponudniki so začeli podpirati stranke IPMI / BMC, ki temeljijo na HTML 5. Odjemalec HTML5 bi nadomestil vtičnike Java Browser / Applet pekel za vse nas.

 

vir