1. ホーム
  2. 質問と答え
  3. VerramodeのようにScramSha1Authenticatorで強力なアルゴリズムを使用しますか?

VerramodeのようにScramSha1Authenticatorで強力なアルゴリズムを使用しますか?

2017-04-18 13 views
0

Mongo DB javaドライバ3.4.1 jarを使用しています。我々はのVeraCodeのテストをしたとき、私たちは、ことがわかった:VerramodeのようにScramSha1Authenticatorで強力なアルゴリズムを使用しますか?

ScramSha1Authenticator.java何215が壊れたり危険な暗号アルゴリズムを使用していない行

は、いずれかが、このための解決/回避策を知っていますか?

重要な問題であるため、運用に移る前に問題に取り組まなければなりません。

出典

2017-04-18 Jbaur

+0

Veracodeは何かをお勧めしますか?たぶんそれをsha256 –

+0

に変更してください。しかし、どうやってそれを変えますか?それは第三者のコードです。我々のものではない。それに応じてmongo DBにリクエストを提出しなければならないかもしれません。 – Jbaur

+0

はい、おそらくあなたはそれをしなければなりません。あるいはコードを手に入れて自分で変更します(私が間違っていなければgithubに入ります)。 Veracodeでこれを軽減できるかどうかを確認してください(サードパーティのコードなどを説明してください)。これをどのように扱うかはわかりません。 –

答えて

1

これはドライバだけではないので、簡単に変更することはできません。SCRAM-SHA-1はMongoDBの最新バージョンの現在のユーザ名 - パスワード認証プロトコルであり、SHA-1を使用します。ドライバは単なる代わりにSHA-256の使用を決めることはできません。

私はあなたのVeraCodeテストに合格しているか、コミットを知りませんが、私はあなたがのVeraCodeセキュリティレポートにもかかわらず、安全にMongoDBを使用して実行できる2つの可能なオプションを見ることができます:

  1. はMongoDBのからの保証を取得しますSCRAM-SHA-1メカニズムがよく知られたものに脆弱でないことsecurity problems with the SHA-1 algorithm
  2. この認証メカニズムを使用する代わりに、代わりに別のメカニズムを使用してください。おそらくx.509 Certificate Authentication、またはKerberos Authentication

出典

2017-04-18 14:21:53

関連する問題

 関連する問題