H3C总代理商,华为代理商欢迎您!

全国咨询服务电话

15378180513 

技术文档

联系我们

客户至上

成都达锐斯科技有限公司
地址:成都市武候区人民南路4段53号嘉云台丙栋7楼

电话:15378180513

联系人:

邮箱:3511891@qq.com

官网:http://www.cdh3c.com

技术文档

当前位置: 首页>>技术文档

安全产品关于IPMI v2.0密码哈希泄露漏洞的说明

漏洞相关信息

IPMI v2.0密码哈希泄露漏洞 安管一体机

漏洞描述

安全产品中的服务器,比如安管一体机、态势感知等产品用漏扫扫描出了高危漏洞,漏洞名称是“IPMI v2.0密码哈希泄露漏洞”。

此漏洞主要是IPMI2.0协议支持RMCP+机制引入导致,远程攻击者可以将HDM响应的RAKP包中密码的哈希值抓取,从而实施离线口令猜测攻击。 该漏洞是协议机制导致,软件层面无法去修复,相关描述如下图说明。

来源:国家信息安全漏洞库  

实际测试各大服务器厂商均没有修复此漏洞,测试结果如下图:

友商测试结果和H3C我司结果一致 。


漏洞解决方案

规避措施:

如果管理网IP(HDM)没有直接连接到公网,此漏洞被利用的风险极小;建议管理网不在公网暴露IP。

如果管理网IP(HDM)是暴露在公网中,那么建议如下方式:

方法一,增加密码复杂度,避免使用弱密码。

方法二,增加白名单访问机制,其次将已知的访问源IP都增加到白名单,这样能有效遏制恶意攻击源。

方法三,如果纳管不是基于IPMI over LAN的,那么可以通过HDM页面关闭IPMI端口,漏洞不会再对外暴露,也无法被扫描到。


友情链接

新华三集团 思科 嵌入式主板

公司地址

ADDRESS

成都市武候区人民南路4段53号嘉云台丙栋7楼

服务电话

HOTTELEPHONE
  • 15378180513
公司简介
产品展示
H3C交换机
H3C路由器
思科交换机
思科路由器
华为交换机
企业新闻
技术文档
  • 扫一扫,加微信

Copyright © 2023 达锐斯科技 川公网安备 51010802000119号 XML地图

蜀ICP备2020034250号-1 技术支持: 网站模板