2. 질의 응답
  3. ScramSha1Authenticator에서 강력한 알고리즘을 사용하십시오 - Veracode에 따라?

ScramSha1Authenticator에서 강력한 알고리즘을 사용하십시오 - Veracode에 따라?

2017-04-18 3 views
0

우리는 Mongo DB java 드라이버 3.4.1 jar를 사용하고 있습니다.ScramSha1Authenticator에서 강력한 알고리즘을 사용하십시오 - Veracode에 따라?

ScramSha1Authenticator.java 어떤 알고 해상도/해결 방법이 거기 아니 215이 깨지거나 위험한 암호화 알고리즘

를 사용하지 라인 : 우리는 베라 코드의 테스트를했을 때 우리는 발견?

중요한 문제이므로 프로덕션 환경으로 이동하기 전에 문제를 해결해야합니다.

출처

2017-04-18 Jbaur

+0

Veracode는 어떤 것을 권장합니까? 어쩌면 그것을 sha256 –

+0

으로 변경하십시오. 그러나 어떻게 변화시킬 것인가? 제 3 자 코드입니다. 우리가 아니야. mongo DB에 대한 요청을 수정해야합니다. – Jbaur

+0

예, 아마도 그렇게해야 할 것입니다. 또는 코드를 가져 와서 직접 변경하십시오 (잘못된 것이 아니라면 github에 있음). 또는 Veracode를 사용하여이를 완화 할 수 있는지 확인하십시오 (타사 코드 등을 설명하십시오). 어떻게 처리 할 수 ​​있는지 확실하지 않습니다. –

답변

1

이것은 드라이버가 아니기 때문에 쉽게 변경할 수 없습니다. SCRAM-SHA-1은 MongoDB 최신 버전의 현재 사용자 이름 - 암호 인증 프로토콜이며 SHA-1을 사용합니다. 드라이버는 SHA-256을 일방적으로 사용하기로 결정할 수 없습니다.

난 당신이 베라 코드의 테스트를 통과에 얼마나 최선을 다하고 모르겠지만, 난 당신이 안전하게 베라 코드의 보안 보고서에도 불구하고 MongoDB의 사용에 수행 할 두 가지 옵션을 볼 수 있습니다

  1. 가져 보증하여 MongoDB에서을 SCRAM-SHA-1 메커니즘이 잘 알려진 것에 취약하지 않음 security problems with the SHA-1 algorithm
  2. 이 인증 메커니즘을 사용하는 대신 다른 메커니즘을 사용하십시오. 아마도 x.509 Certificate Authentication 또는 Kerberos Authentication

출처

2017-04-18 14:21:53

 관련 문제

  • 관련 문제 없음^_^