ASUS ASMB8-iKVM und Java 8 Update 131 oder neuer

Seit Java 8 Update 131 ist MD5 als Prüfsummen-Algorithmus gesperrt. Versucht man z.B. auf ein BMC der Marke ASUS ASMB8-iKVM zwecks Remoteverwaltung zuzugreifen, so erhält man eine Fehlermeldung, die einem erklärt, dass das JAR mit „MD5withRSA“ signiert ist und dies als unsicher gilt.

Trotz Update der Firmware auf 2.04.51, die eigentlich genau für diese und neuere Java-Versionen gedacht ist, hilft (zumindest bei mir) nicht. Ein Workaround besteht darin, in Java die Sperrung aufzuheben:

  • Die Datei
    C:\Program Files (x86)\Java\jre1.8.0_151\lib\security\java.security

    mit erhöhten rechten editieren. Ggf. zuvor den Pfad anpassen.

  • In der Zeile „jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024“ den „MD5“-Eintrag entfernen und die Änderung speichern.

Nun klappt der Zugriff wieder. Eine Anfrage meinerseits beim Support läuft, mal sehen, ob es noch einen anderen Weg gibt.

Quelle:

ammann – Java Fehler „MD5withRSA“ bei IPMI-KVM-Zugriff

Update 17.11.2017

Da es sich bei dem Server, auf den ich Zugreifen wollte um einen Wortmann Terra Miniserver handelt, hatte ich beim dortigen Support nachgefragt. Nun kam eine Antwort:

Asus (und auch andere Hersteller) arbeiten dran.
Leider habe ich keine Timeline, und sehr wahrscheinlich muss ein
komplette Bios-IKVM Update gemacht werden, daher die länge Entwicklungszeit.

Ist zwar nicht das Erhoffte, aber es gibt wenigstens den oben genannten workaround. Parallel dazu kann man wohl sagen: Wohl dem, der BMCs mit KVM-Funktionalität auf HTML5-Basis hat. Bei so manchen selbst Jahre altem Supermicro-System gab es bereits Updates, die von Java auf HTML5 gewechselt sind.

Update 22.05.2018

Es scheint als sei das Problem bei ASUS mit der Firmware-Version 2.05 behoben. Möglicherweise halfen auch schon jüngere Versionen, also irgendwas zwischen 2.04.51 und 2.05 als auch neuerer Java-Version. Bei zwei Wortmann Terra Miniserver die ich gerade in der Mache habe war 2.04 installiert und der Zugriff klappte im Gegensatz zum November 2017 dennoch. Schade das nach wie vor kein HTML5 verwendet wird.

Update 24.05.2018

Leider wird man die MD5-Thematik in Verbindung mit ASUS ASMBx nicht so leicht los, wie man im Falle des ASMB7 sieht:

ASUS ASMB7-iKVM: Kein Update auf 2.03 möglich

Um die Änderung an Java per Powershell durchführen zu können, kann folgender Befehl verwendet werden:

powershell -Command "(gc '%JPath%\%JVersion%\lib\security\java.security') -replace 'jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024', 'jdk.jar.disabledAlgorithms=MD2, RSA keySize < 1024, DSA keySize < 1024' | Out-File '%JPath%\%JVersion%\lib\security\java.security' -Encoding Ascii

Für die Ausführung werden erhöhte Rechte benötigt! Die Variablen für „%JPath%“ und „%JVersion%“ müssen vorher natürlich definiert werden. Beispiel:

set JPath=C:\Program Files (x86)\Java
set JVersion=jre1.8.0_171

3 Gedanken zu „ASUS ASMB8-iKVM und Java 8 Update 131 oder neuer

  1. Hi Andy,

    leider auch auf etwa älteren Fujitsu-Servern (dort wird der BMC „iRMC“ genannt) unter iRMC Version 3 keine Option zur Nutzung von HTML5 statt Java.
    Daher ist leider auch dort der von Dir genannte Workaround nötig.

    Viele Grüße,

    Mirko

  2. Hallo Mirko,

    danke für die Info, gut zu wissen.
    Ich für meinen Teil bin froh drum, wenn man generell kein Java mehr für iKVM und Co. benötigt, wobei die freie Wahl was man verwenden möchte ok wäre.
    Zumindest für das Durchschnitts-Administrieren reicht HTML5 aus und man ist imho etwas flexibler beim „Admin-Device“.

  3. Pingback: ASUS ASMB7-iKVM: Kein Update auf 2.03 möglich | Andys Blog – Linux & Windows

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.