Skip to main content
  1. Posts/
  2. blog.dsinf.net/

DRAC5 – "Error when reading from SSL socket connection"

·261 words·2 mins
blog.dsinf.net dell drac5 java security serwer sslv3
Daniel Skowroński
Author
Daniel Skowroński

Karta zdalnego zarządzania od Della - DRAC5 stosowana m.in. w PowerEdge 1950 jest tak stara jak sam serwer. Serwer dalej chodzi, ale koncepcje bezpieczeństwa - już nie. Kiedy spróbujemy się podłączyć ze zaktualizowanego hosta do zdalnego sterowania (console redirection), albo menadżera nośników wirtualnych (virtual media) wyskoczy nam komunikat z maszyny wirtualnej Javy “Error when reading from SSL socket connection”. Winny jest pudel (a dokładniej POODLE).

Sprawę, że ten aplet w ogóle się nie uruchomi na nowej Javie rozwiązuje paragraf w innym moim artykule.

W związku z ubiegłoroczną dziurą w SSLv3 Oracle postanowił po jakimś czasie wyłączyć ten protokół - patrz komunikat na ich stronie. Niestety nawet najnowsza wersja firmware’u DRACa piątki - 1.65 A00 nie przewiduje innego protokołu komunikacji. [Bez znaczenia jest też jeśli używamy wbudowanego certyfikatu ważnego na okres 2005-2010 - klient nie sprawdza tego!]

Jedyną opcją jest globalne włączenie protokołu - mało bezpieczne, ale innej opcji nie ma.
Szukamy pod Linuksem pliku /usr/lib/jvm/*/jre/lib/security/java.security lub pod Windowsem C:\Program Files (x86)\Java\jre1.8.0_60\lib\security\java.security i tamże linijki jdk.tls.disabledAlgorithms= - nie wystarczy skasować zapisu SSLv3, ale także trzeba zaniżyć DH Key Size i usunąć RC4 - słowem zakomentować całą linijkę.

Kiedyś dało się to zrobić przez GUI. Liczmy na to, że i z konfiga plikowego tego nie usuną.

DRAC5 jest zbyt przydatny, żeby uznawać argument o małym bezpieczeństwie jeśli używa się tak starej maszyny. Najlepiej jednak po użyciu przywrócić wyłączenie tych protokołów i nie łączyć się do DRACa z innych produkcyjnych serwerów. Szkoda jednak, że Dell nie zrobił aktualizacji, no ale jest serwer ma obecnie 10 lat!

Dokumentacja DELLa dot. bezpieczeństwa tych kart - http://www.dell.com/downloads/global/solutions/DellRemoteAccessController5Security.Pdf