V5版本交換機解決CVE-2016-2183漏洞

CVE2015-2808  CVE2016-2183

解決方法：

iWare平台存在此漏洞，建議關閉https登錄使用http登錄，或者在設備Web管理口下麵的訪問控製列表中隻放行某個管理網段的地址，排除掉漏掃的地址，功能效果類似於V7的ip https acl X.X.X.X。

Comware平台可以通過如下方式解決：

1、首先創建一個PKI域：

[H3C] pki domain test

[H3C-pki-domain-test] undo crl check enable

（V5命令：crl check disable）

2、導入CA證書和local證書到PKI域中：

說明：V7防火牆可以使用設備自帶證書，獲取證書的方法請見文檔《NGFW防火牆生成設備自帶證書對的方法》

[H3C] pki import domain test der ca filename ca.cer

[H3C] pki import domain test p12 local filename server.pfx

3、在配置視圖下通過命令ssl server-policy policy-name進入服務器端策略視圖，修改SSL加密套件，使其不再包含RC4算法：

<H3C>system-view

[H3C]ssl server-policy test

[H3C-ssl-server-policy-test]ciphersuite ?

  dhe_rsa_aes_128_cbc_sha 

  dhe_rsa_aes_256_cbc_sha

  exp_rsa_des_cbc_sha

  exp_rsa_rc2_md5

  exp_rsa_rc4_md5

  rsa_3des_ede_cbc_sha

  rsa_aes_128_cbc_sha

  rsa_aes_256_cbc_sha

  rsa_des_cbc_sha

  rsa_rc4_128_md5

  rsa_rc4_128_sha

[H3C]display ssl server-policy test

 SSL server policy: test

     PKI domain:

     Ciphersuites:

         RSA_AES_128_CBC_SHA

         RSA_DES_CBC_SHA

         RSA_3DES_CBC_SHA

         RSA_AES_256_CBC_SHA

         RSA_RC2_CBC_MD5

         EXP_RSA_DES_CBC_SHA

         DHE_RSA_AES_128_CBC_SHA

         DHE_RSA_AES_256_CBC_SHA

     Session cache size: 500

     Caching timeout: 3600 seconds

     Client-verify: Disabled

4、引用PKI域：

[H3C-ssl-server-policy-test] pki-domain test

5、禁用當前對外提供的SSL服務，如HTTPS：

[H3C] undo ip https enable   

[H3C] undo ip http enable

6、配置SSL服務如HTTPS服務引用前麵自定義的SSL Server端策略：

[H3C] ip https ssl-server-policy test 
7、重新使能SSL服務，例如重新使能HTTPS服務：

[H3C] ip https enable

[H3C] ip http enable