Seit Java 8 Update 131 ist MD5 als Prüfsummen-Algorithmus gesperrt. Versucht man z.B. auf ein BMC der Marke ASUS ASMB8-iKVM zwecks Remoteverwaltung zuzugreifen, so erhält man eine Fehlermeldung, die einem erklärt, dass das JAR mit “MD5withRSA” signiert ist und dies als unsicher gilt.
Trotz Update der Firmware auf 2.04.51, die eigentlich genau für diese und neuere Java-Versionen gedacht ist, hilft (zumindest bei mir) nicht. Ein Workaround besteht darin, in Java die Sperrung aufzuheben:
- Die Datei
C:\Program Files (x86)\Java\jre1.8.0_151\lib\security\java.security
mit erhöhten rechten editieren. Ggf. zuvor den Pfad anpassen.
- In der Zeile “jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024” den “MD5”-Eintrag entfernen und die Änderung speichern.
Nun klappt der Zugriff wieder. Eine Anfrage meinerseits beim Support läuft, mal sehen, ob es noch einen anderen Weg gibt.
Quelle:
ammann – Java Fehler „MD5withRSA“ bei IPMI-KVM-Zugriff
Update 17.11.2017
Da es sich bei dem Server, auf den ich Zugreifen wollte um einen Wortmann Terra Miniserver handelt, hatte ich beim dortigen Support nachgefragt. Nun kam eine Antwort:
Asus (und auch andere Hersteller) arbeiten dran. Leider habe ich keine Timeline, und sehr wahrscheinlich muss ein komplette Bios-IKVM Update gemacht werden, daher die länge Entwicklungszeit.
Ist zwar nicht das Erhoffte, aber es gibt wenigstens den oben genannten workaround. Parallel dazu kann man wohl sagen: Wohl dem, der BMCs mit KVM-Funktionalität auf HTML5-Basis hat. Bei so manchen selbst Jahre altem Supermicro-System gab es bereits Updates, die von Java auf HTML5 gewechselt sind.
Update 22.05.2018
Es scheint als sei das Problem bei ASUS mit der Firmware-Version 2.05 behoben. Möglicherweise halfen auch schon jüngere Versionen, also irgendwas zwischen 2.04.51 und 2.05 als auch neuerer Java-Version. Bei zwei Wortmann Terra Miniserver die ich gerade in der Mache habe war 2.04 installiert und der Zugriff klappte im Gegensatz zum November 2017 dennoch. Schade das nach wie vor kein HTML5 verwendet wird.
Update 24.05.2018
Leider wird man die MD5-Thematik in Verbindung mit ASUS ASMBx nicht so leicht los, wie man im Falle des ASMB7 sieht:
ASUS ASMB7-iKVM: Kein Update auf 2.03 möglich
Um die Änderung an Java per Powershell durchführen zu können, kann folgender Befehl verwendet werden:
powershell -Command "(gc '%JPath%\%JVersion%\lib\security\java.security') -replace 'jdk.jar.disabledAlgorithms=MD2, MD5, RSA keySize < 1024, DSA keySize < 1024', 'jdk.jar.disabledAlgorithms=MD2, RSA keySize < 1024, DSA keySize < 1024' | Out-File '%JPath%\%JVersion%\lib\security\java.security' -Encoding Ascii
Für die Ausführung werden erhöhte Rechte benötigt! Die Variablen für “%JPath%” und “%JVersion%” müssen vorher natürlich definiert werden. Beispiel:
set JPath=C:\Program Files (x86)\Java set JVersion=jre1.8.0_171
Verheiratet, Vater von zwei Kindern, eines an der Hand, eines im Herzen. Schon immer Technik-Freund, seit 2001 in der IT tätig und seit über 10 Jahren begeisterter Blogger. Mit meiner Firma IT-Service Weber kümmern wir uns um alle IT-Belange von gewerblichen Kunden und unterstützen zusätzlich sowohl Partner als auch Kollegen.
Artikel (RSS)
XING
Hi Andy,
leider auch auf etwa älteren Fujitsu-Servern (dort wird der BMC “iRMC” genannt) unter iRMC Version 3 keine Option zur Nutzung von HTML5 statt Java.
Daher ist leider auch dort der von Dir genannte Workaround nötig.
Viele Grüße,
Mirko
Hallo Mirko,
danke für die Info, gut zu wissen.
Ich für meinen Teil bin froh drum, wenn man generell kein Java mehr für iKVM und Co. benötigt, wobei die freie Wahl was man verwenden möchte ok wäre.
Zumindest für das Durchschnitts-Administrieren reicht HTML5 aus und man ist imho etwas flexibler beim “Admin-Device”.