Tivoli Monitoring Agent 中的 SSL 漏洞

Posted 2023-05-08

【中文标题】Tivoli Monitoring Agent 中的 SSL 漏洞

【英文标题】：SSL vulnerability in Tivoli Monitoring Agent

【发布时间】：2017-05-06 04:37:47

【问题描述】：

我正在修复 windows server 2008 上的一些偏差，在扫描结果中，漏洞 SSL Enabled Server Supports Medium Strength SSL Encryption Certificates/Ciphers 出现在端口 7756 中。在该端口中运行的应用程序是 kntcma(Tivoli Monitoring代理人）。我尝试通过转到 TEMS->Advanced->Edit variables 并添加下一行来解决此问题：

GSK_PROTOCOL_SSLV2=OFF
GSK_PROTOCOL_SSLV3=ON
GSK_V3_CIPHER_SPECS="350A"

然后我重新启动了代理，并认为这足以解决漏洞，但事实并非如此。偏差不断出现，我不知道还有什么办法可以解决它

【参考方案1】：

您可以使用证书...以下是重新创建安全证书的一些步骤：

a) 设置属性：

C:\IBM\ITM\InstallITM\GetGSKitHome.bat ->在PATH开头添加输出

示例：

set PATH=C:\IBM\ITM\GSK7;C:\IBM\ITM\GSK7\lib;C:\IBM\ITM\GSK7\bin;%PATH%

C:\IBM\ITM\InstallITM\GetJavaHome.bat ->将此命令的输出设置为JAVA_HOME

示例：

set JAVA_HOME=C:\IBM\ITM\java\java50\jre

b) 删除并重新创建证书

在只有 gsk7capicmd 实用程序可用的 32 位服务器上：

set PATH=C:\IBM\ITM\GSK7;C:\IBM\ITM\GSK7\lib;C:\IBM\ITM\GSK7\bin;%PATH%

gsk7capicmd.exe -cert -delete -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -label "IBM_Tivoli_Monitoring_Certificate"

在 gsk8capicmd 实用程序可用的 32 位服务器上：

set PATH=C:\IBM\ITM\GSK8;C:\IBM\ITM\GSK8\lib;C:\IBM\ITM\GSK8\bin;%PATH%

gsk8capicmd.exe -cert -delete -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -label "IBM_Tivoli_Monitoring_Certificate"

在只有 gsk7capicmd_64 可用的 64 位服务器上：

set PATH=C:\IBM\ITM\GSK7_x64;C:\IBM\ITM\GSK7_x64\lib64;C:\IBM\ITM\GSK7_x64\bin;%PATH%

gsk7capicmd_64.exe -cert -delete -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -label "IBM_Tivoli_Monitoring_Certificate"

在 gsk8capicmd_64 可用的 64 位服务器上：

set PATH=C:\IBM\ITM\GSK8_x64;C:\IBM\ITM\GSK8_x64\lib64;C:\IBM\ITM\GSK8_x64\bin;%PATH%

gsk8capicmd_64.exe -cert -delete -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -label "IBM_Tivoli_Monitoring_Certificate"

c) 创建新证书

在只有 gsk7capicmd 实用程序可用的 32 位服务器上：

set PATH=C:\IBM\ITM\GSK7;C:\IBM\ITM\GSK7\lib;C:\IBM\ITM\GSK7\bin;%PATH%

gsk7capicmd.exe -cert -create -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -size 4096 -dn "CN=IBM Tivoli Monitoring Self-Signed Certificate,O=IBM Tivoli,C=US" -label "IBM_Tivoli_Monitoring_Certificate" -default_cert yes -expire 3652 -sigalg sha1

在 gsk8capicmd 实用程序可用的 32 位服务器上：

set PATH=C:\IBM\ITM\GSK8;C:\IBM\ITM\GSK8\lib;C:\IBM\ITM\GSK8\bin;%PATH%

gsk8capicmd.exe -cert -create -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -size 4096 -dn "CN=IBM Tivoli Monitoring Self-Signed Certificate,O=IBM Tivoli,C=US" -label "IBM_Tivoli_Monitoring_Certificate" -default_cert yes -expire 3652 -sigalg sha1

在 gsk7capicmd_64 实用程序可用的 64 位服务器上：

set PATH=C:\IBM\ITM\GSK7_x64;C:\IBM\ITM\GSK7_x64\lib64;C:\IBM\ITM\GSK7_x64\bin;%PATH%

gsk7capicmd_64.exe -cert -create -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -size 4096 -dn "CN=IBM Tivoli Monitoring Self-Signed Certificate,O=IBM Tivoli,C=US" -label "IBM_Tivoli_Monitoring_Certificate" -default_cert yes -expire 3652 -sigalg sha1

在 gsk8capicmd_64 实用程序可用的 64 位服务器上：

set PATH=C:\IBM\ITM\GSK8_x64;C:\IBM\ITM\GSK8_x64\lib64;C:\IBM\ITM\GSK8_x64\bin;%PATH%

gsk8capicmd_64.exe -cert -create -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -size 4096 -dn "CN=IBM Tivoli Monitoring Self-Signed Certificate,O=IBM Tivoli,C=US" -label "IBM_Tivoli_Monitoring_Certificate" -default_cert yes -expire 3652 -sigalg sha1

您可以在此link 找到更多信息。

【讨论】：

忘了提一下，修补 SSLv3 以防止 POODLE 漏洞会很好，如 following link 中所述