首页 > 其他分享 >IPMI v2.0 Password Hash Disclosure漏洞

IPMI v2.0 Password Hash Disclosure漏洞

时间:2022-10-07 18:11:35浏览次数:115  
标签:Disclosure IPMI2.0 漏洞 协议 IPMI v2.0 密码 Hash

漏洞描述:远程主机支持IPMI v2.0智能平台,由于支持RMCP+认证密钥交换协议(RAKP)认证,管理接口(IPMI)协议受到信息泄露漏洞的影响。远程攻击者可以通过HMAC从BMC的RAKP message 2响应中获取有效用户帐户的密码哈希信息,从而实施离线口令猜测攻击。

  涉及端口:623

 

加固措施:根据《漏洞跟踪表》:该漏洞没有补丁;这是一个固有的问题,符合IPMI2.0的规范。缓解措施包括:

  1. 禁用IPMI管理;
  2. 使用强密码;
  3. 限制网络访问

厂商分析:该问题是IPMI2.0协议机制导致,是IPMI2.0规范协议本身的固有缺陷,无法通过打补丁加固的方法修复。该问题影响使用IPMI2.0协议的主机。

由于主机设备均需要使用IPMI管理,建议:

  • 管理网不在公网暴露;
  • 在局方内网严格限制IPMI的访问,仅允许4A管理平台、网管平台等访问IPMI;
  • 提升IPMI密码复杂度,严格限制密码的保存和使用,并定期更改IPMI密码,以限制离线字典攻击。

 

另外可查询:Cracking IPMI Passwords Remotely (fish2.com)

标签:Disclosure,IPMI2.0,漏洞,协议,IPMI,v2.0,密码,Hash
From: https://www.cnblogs.com/HByang/p/16760185.html

相关文章

  • python当中hashlib模块进行加密
    在python中,经常使用hashlib模块来进行加密。普通加密:通过导入hashlib来实现。importhashlibpassword="123456"new_password=hashlib.md5(password.encode('......
  • 推荐一款id生成器: Hashids
    唯一id生成的方式有很多种,比较常见的有以下几种方式:语言自带功能,如Java中的UUID,常用于后端第三方工具提供,如npm中的nanoid,常用于前端Twitter开源的Snow......
  • HashRouter 和 HistoryRouter
    vue-router是vue官方提供的路由管理器,让构建单页面更容易,vue默认hash模式,还有另一种history模式原理:hash路由:核心就是依靠hashchange()事件在window监听hash的变化,......
  • 005-Redis的 Hash 命令组
    1.Hash1.1hdel1.1.1基本信息HDELkeyfield[field...]summary:Deleteoneormorehashfieldssince:2.0.0Removesthespecifiedfieldsfromthehashstor......
  • (未完待续)集合框架——HashSet集合源码分析
    本篇内容是对B站《韩顺平零基础30天学会java》中关于HashSet章节的一个知识回顾和总结HashSet相对比ArrayList、Vector及LinkedList,知识内容和难度有所提高,阅读源码更富......
  • python识别ico hash值
    用python识别icohash值,通过shodan搜索icohash值的网站,网上较为多流行的是用python2写的,但考虑到现在都是python3,这个脚本也跑不起来,所以自己重写了一个python3版本 需......
  • 【Redis】五大常见的数据类型之 Hash
    前言我们都知道Redis提供了丰富的数据类型,常见的有五种:String(字符串),Hash(哈希),List(列表),Set(集合)、Zset(有序集合)。今天我们就来详细的聊聊Redis这五大常见的数据类型之一​......
  • 【code基础】HashMap用法
    1.hashMap赋值的简便方法for(inti=0;i<s.length();i++){charc=s.charAt(i);if(maps.containsKey(c))maps.put(c,maps.g......
  • 【java基础】HashSet插入顺序问题
    总结:1、HashSet底层的插入是通过HashMap来实现的2、HashSet并不按照插入的顺序存储,它是无序的3、LinkedHashSet中的元素可以按照它们插入规则集的顺序提取@Test......
  • WeakHashMap和HashMap的区别
    看Java源码的时候,看到了 WeakHashMap,我一直以来使用的都是HashMap,于是查了一下两者的区别(一) 查看API文档,WeakHashmap要点如下:1.以弱键实现的基于哈希表的Map。在......