Tivoli Monitoring Agent 中的 SSL 漏洞
Posted
技术标签:
【中文标题】Tivoli Monitoring Agent 中的 SSL 漏洞【英文标题】:SSL vulnerability in Tivoli Monitoring Agent 【发布时间】:2017-05-06 04:37:47 【问题描述】:我正在修复 windows server 2008 上的一些偏差,在扫描结果中,漏洞 SSL Enabled Server Supports Medium Strength SSL Encryption Certificates/Ciphers 出现在端口 7756 中。在该端口中运行的应用程序是 kntcma(Tivoli Monitoring代理人)。我尝试通过转到 TEMS->Advanced->Edit variables 并添加下一行来解决此问题:
GSK_PROTOCOL_SSLV2=OFF
GSK_PROTOCOL_SSLV3=ON
GSK_V3_CIPHER_SPECS="350A"
然后我重新启动了代理,并认为这足以解决漏洞,但事实并非如此。偏差不断出现,我不知道还有什么办法可以解决它
【问题讨论】:
【参考方案1】:您可以使用证书...以下是重新创建安全证书的一些步骤:
a) 设置属性:
C:\IBM\ITM\InstallITM\GetGSKitHome.bat
->在PATH开头添加输出
示例:
set PATH=C:\IBM\ITM\GSK7;C:\IBM\ITM\GSK7\lib;C:\IBM\ITM\GSK7\bin;%PATH%
C:\IBM\ITM\InstallITM\GetJavaHome.bat
->将此命令的输出设置为JAVA_HOME
示例:
set JAVA_HOME=C:\IBM\ITM\java\java50\jre
b) 删除并重新创建证书
在只有 gsk7capicmd 实用程序可用的 32 位服务器上:
set PATH=C:\IBM\ITM\GSK7;C:\IBM\ITM\GSK7\lib;C:\IBM\ITM\GSK7\bin;%PATH%
gsk7capicmd.exe -cert -delete -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -label "IBM_Tivoli_Monitoring_Certificate"
在 gsk8capicmd 实用程序可用的 32 位服务器上:
set PATH=C:\IBM\ITM\GSK8;C:\IBM\ITM\GSK8\lib;C:\IBM\ITM\GSK8\bin;%PATH%
gsk8capicmd.exe -cert -delete -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -label "IBM_Tivoli_Monitoring_Certificate"
在只有 gsk7capicmd_64 可用的 64 位服务器上:
set PATH=C:\IBM\ITM\GSK7_x64;C:\IBM\ITM\GSK7_x64\lib64;C:\IBM\ITM\GSK7_x64\bin;%PATH%
gsk7capicmd_64.exe -cert -delete -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -label "IBM_Tivoli_Monitoring_Certificate"
在 gsk8capicmd_64 可用的 64 位服务器上:
set PATH=C:\IBM\ITM\GSK8_x64;C:\IBM\ITM\GSK8_x64\lib64;C:\IBM\ITM\GSK8_x64\bin;%PATH%
gsk8capicmd_64.exe -cert -delete -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -label "IBM_Tivoli_Monitoring_Certificate"
c) 创建新证书
在只有 gsk7capicmd 实用程序可用的 32 位服务器上:
set PATH=C:\IBM\ITM\GSK7;C:\IBM\ITM\GSK7\lib;C:\IBM\ITM\GSK7\bin;%PATH%
gsk7capicmd.exe -cert -create -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -size 4096 -dn "CN=IBM Tivoli Monitoring Self-Signed Certificate,O=IBM Tivoli,C=US" -label "IBM_Tivoli_Monitoring_Certificate" -default_cert yes -expire 3652 -sigalg sha1
在 gsk8capicmd 实用程序可用的 32 位服务器上:
set PATH=C:\IBM\ITM\GSK8;C:\IBM\ITM\GSK8\lib;C:\IBM\ITM\GSK8\bin;%PATH%
gsk8capicmd.exe -cert -create -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -size 4096 -dn "CN=IBM Tivoli Monitoring Self-Signed Certificate,O=IBM Tivoli,C=US" -label "IBM_Tivoli_Monitoring_Certificate" -default_cert yes -expire 3652 -sigalg sha1
在 gsk7capicmd_64 实用程序可用的 64 位服务器上:
set PATH=C:\IBM\ITM\GSK7_x64;C:\IBM\ITM\GSK7_x64\lib64;C:\IBM\ITM\GSK7_x64\bin;%PATH%
gsk7capicmd_64.exe -cert -create -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -size 4096 -dn "CN=IBM Tivoli Monitoring Self-Signed Certificate,O=IBM Tivoli,C=US" -label "IBM_Tivoli_Monitoring_Certificate" -default_cert yes -expire 3652 -sigalg sha1
在 gsk8capicmd_64 实用程序可用的 64 位服务器上:
set PATH=C:\IBM\ITM\GSK8_x64;C:\IBM\ITM\GSK8_x64\lib64;C:\IBM\ITM\GSK8_x64\bin;%PATH%
gsk8capicmd_64.exe -cert -create -db C:\IBM\ITM\keyfiles\keyfile.kdb -pw IBM61TIV -size 4096 -dn "CN=IBM Tivoli Monitoring Self-Signed Certificate,O=IBM Tivoli,C=US" -label "IBM_Tivoli_Monitoring_Certificate" -default_cert yes -expire 3652 -sigalg sha1
您可以在此link 找到更多信息。
【讨论】:
忘了提一下,修补 SSLv3 以防止 POODLE 漏洞会很好,如 following link 中所述以上是关于Tivoli Monitoring Agent 中的 SSL 漏洞的主要内容,如果未能解决你的问题,请参考以下文章
Zabbix 中使用 Percona Monitoring Plugins 监控 MySQL
(转)zabbix3.4使用percona-monitoring-plugins监控mysql
Zabbix 中使用 Percona Monitoring Plugins 监控 MySQL