ASUS ASMB8-iKVM und Java 8 Update 131 oder neuer

Seit Java 8 Update 131 ist MD5 als Prüfsummen-Algorithmus gesperrt. Versucht man z.B. auf ein BMC der Marke ASUS ASMB8-iKVM zwecks Remoteverwaltung zuzugreifen, so erhält man eine Fehlermeldung, die einem erklärt, dass das JAR mit „MD5withRSA“ signiert ist und dies als unsicher gilt.

Trotz Update der Firmware auf 2.04.51, die eigentlich genau für diese und neuere Java-Versionen gedacht ist, hilft (zumindest bei mir) nicht. Ein Workaround besteht darin, in Java die Sperrung aufzuheben:

  • Die Datei
    C:\Program Files (x86)\Java\jre1.8.0_151\lib\security\java.security

    mit erhöhten rechten editieren. Ggf. zuvor den Pfad anpassen.

  • In der Zeile „jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024“ den „MD5“-Eintrag entfernen und die Änderung speichern.

Nun klappt der Zugriff wieder. Eine Anfrage meinerseits beim Support läuft, mal sehen, ob es noch einen anderen Weg gibt.

Quelle:

ammann – Java Fehler „MD5withRSA“ bei IPMI-KVM-Zugriff

Update 17.11.2017

Da es sich bei dem Server, auf den ich Zugreifen wollte um einen Wortmann Terra Miniserver handelt, hatte ich beim dortigen Support nachgefragt. Nun kam eine Antwort:

Asus (und auch andere Hersteller) arbeiten dran.
Leider habe ich keine Timeline, und sehr wahrscheinlich muss ein
komplette Bios-IKVM Update gemacht werden, daher die länge Entwicklungszeit.

Ist zwar nicht das Erhoffte, aber es gibt wenigstens den oben genannten workaround. Parallel dazu kann man wohl sagen: Wohl dem, der BMCs mit KVM-Funktionalität auf HTML5-Basis hat. Bei so manchen selbst Jahre altem Supermicro-System gab es bereits Updates, die von Java auf HTML5 gewechselt sind.

2 Gedanken zu „ASUS ASMB8-iKVM und Java 8 Update 131 oder neuer

  1. Hi Andy,

    leider auch auf etwa älteren Fujitsu-Servern (dort wird der BMC „iRMC“ genannt) unter iRMC Version 3 keine Option zur Nutzung von HTML5 statt Java.
    Daher ist leider auch dort der von Dir genannte Workaround nötig.

    Viele Grüße,

    Mirko

  2. Hallo Mirko,

    danke für die Info, gut zu wissen.
    Ich für meinen Teil bin froh drum, wenn man generell kein Java mehr für iKVM und Co. benötigt, wobei die freie Wahl was man verwenden möchte ok wäre.
    Zumindest für das Durchschnitts-Administrieren reicht HTML5 aus und man ist imho etwas flexibler beim „Admin-Device“.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.