Microsoft KB3161608/KB 설치 후 CUIC 웹 페이지가 IE 11에 로드되지 않습니다3161639
소개
이 문서에서는 Microsoft 기술 자료(KB) 업데이트를 설치한 후 Internet Explorer(IE)에서 Cisco Unified Intelligence Center(CUIC) 웹 페이지의 로드가 중지되는 시나리오를 설명합니다.
이 문서는 또한 CUIC의 관점에서 잠재적 해결 방안/해결책을 제공합니다.
사전 요구 사항
요구 사항
Cisco에서는 다음 항목에 대해 알고 있는 것이 좋습니다.
- Windows 관리
- CUIC 관리 및 컨피그레이션
사용되는 구성 요소
이 문서의 정보는 다음 소프트웨어 버전을 기반으로 합니다.
- Cisco Unified Intelligence Center 10.5(1)
- Cisco Unified Intelligence Center 10.x
- Cisco Unified Intelligence Center 9.1(x)
- Windows 7 또는 8
- Internet Explorer 11
이 문서의 정보는 특정 랩 환경의 디바이스를 토대로 작성되었습니다. 이 문서에 사용된 모든 디바이스는 초기화된(기본) 컨피그레이션으로 시작되었습니다. 현재 네트워크가 작동 중인 경우, 모든 명령어의 잠재적인 영향을 미리 숙지하시기 바랍니다.
시나리오
- CUIC 버전 9.1(1) 또는 CUIC 버전 10.5(1)
- Windows 7 또는 Windows 8의 IE(Internet Explorer) 11
- Windows 7/8에 KB3161639 설치
- Internet Explorer에서 CUIC 링크 시작 - http://<CUIC HOST ADDRESS>/cuic
이미지에 표시된 대로 다음과 같은 오류 메시지가 표시됩니다.
분석
Microsoft는 2016년 6월 업데이트 롤업 KB3161608의 일부로 이미지에 표시된 것처럼 새로운 Cipher 제품군을 추가했습니다.
KB3161639의 일부로 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 및 TLS_DHE_RSA_WITH_AES_256_CBC_SHA가 암호 그룹에 추가되고 암호 그룹의 기본 우선 순위가 Windows OS에서 변경됩니다.
이 때문에 클라이언트 시스템에 위 업데이트가 있는 경우 CUIC tomcat 서버에서 TLS_DHE_RSA_WITH_AES_128_CBC_SHA를 사용하여 통신하는 경향이 있습니다(TLS_DHE_RSA_WITH_AES_128_CBC_SHA는 CUIC tomcat 커넥터 컨피그레이션에 정의되어 있음).
그러나 TLS_DHE_RSA_WITH_AES_128_CBC_SHA 암호를 사용하는 통신은 작동하지 않습니다. 이는 Microsoft에서 logjam 공격을 해결하기 위해 시행하는 DHE(Diffie Hellman Exchange) 키에 대한 1024비트 최소 요구 사항 때문입니다.
11.x 버전까지의 CUIC에는 768비트 키만 지원하는 Java 6 버전이 있습니다. 따라서 핸드셰이크 장애가 발생할 수 있습니다.
솔루션
이 문제가 해결된 CUIC 11.0(1)에는 적용되지 않습니다. CUIC 버전 9.1(1) 및 10.x의 경우 여기서 사용 가능한 열린 SSL COP 파일로 해결됩니다
openssl cop의 일부로 DHE(Diffie-Hellman) 암호화 지원은 TLS_DHE_RSA_WITH_AES_128_CBC_SHA를 제거하여 로깅 공격을 방지함으로써 CUIC tomcat 커넥터에서 제거됩니다.
개정 이력
| 개정 | 게시 날짜 | 의견 |
|---|---|---|
1.0 |
13-Sep-2016 |
최초 릴리스 |
피드백