
<div dir="ltr">Thanks Baha.  Appreciate the insight.  Are you aware if this fix will be available in 10.5(2)?  <br></div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Jun 7, 2016 at 6:58 AM, Baha Akman <span dir="ltr"><<a href="mailto:makman@cisco.com" target="_blank">makman@cisco.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Ryan thanks for the heads up.<br>

<br>

For those who would like to NOT run with the old CBC based Ciphers and keep modifying your sshd_config on your server side, track these defects and once you upgrade to versions where they are fixed you won’t have to use CBC based Ciphers for various UCM tasks.<br>

<br>

CSCur98596<<a href="https://bst.cloudapps.cisco.com/bugsearch/bug/CSCur98596" rel="noreferrer" target="_blank">https://bst.cloudapps.cisco.com/bugsearch/bug/CSCur98596</a>> - DRS support for aes256-ctr ciphers<br>

<br>

CSCux74884<<a href="https://bst.cloudapps.cisco.com/bugsearch/bug/CSCux74884" rel="noreferrer" target="_blank">https://bst.cloudapps.cisco.com/bugsearch/bug/CSCux74884</a>> - Platform CLI file get command ssh client Ciphers needs to be updated<br>

<br>

Cheers,<br>

<br>

—<br>

Baha<br>

<span class=""><br>

<br>

<br>

On Jun 2, 2016, at 7:41 AM, Ed Leatherman <<a href="mailto:ealeatherman@gmail.com">ealeatherman@gmail.com</a><mailto:<a href="mailto:ealeatherman@gmail.com">ealeatherman@gmail.com</a>>> wrote:<br>

<br>

Thanks for the heads up Ryan i'm sure i'd have hit this one sooner or later.<br>

<br>

</span><span class="">On Wed, Jun 1, 2016 at 7:10 PM, Ryan Huff <<a href="mailto:ryanhuff@outlook.com">ryanhuff@outlook.com</a><mailto:<a href="mailto:ryanhuff@outlook.com">ryanhuff@outlook.com</a>>> wrote:<br>

<br>

This is an important FYI for anyone that uses OpenSSH, and by extension any software that uses OpenSSH. A coworker and I discovered this issue today by way of using Linux with OpenSSH as a SFTP>DRS target for UC Manager.<br>

<br>

<br>

Applied to context; in the new OpenSSH 7.2p2, which you'll likely run into in recent, package managed Linux distributions (Ubuntu, Debian .... etc) OpenSSH has disabled weak crypto ciphers by default. Specifically; aes128-cbc, 3des-cbc,blowfish-cbc (and the use of no cipher) which as of CUCM 11.0.1.21900-11 are still being used.<br>

<br>

<br>

If you hit this issue:<br>

<br>

<br>

In UC Manager if you try to add a backup device that uses OpenSSH 7.2p2 you'll get, "unable to access SFTP server. Please check username and password". Thats because it is failing the key exchange with the OpenSSH server and getting spanked.<br>

<br>

<br>

On the OpenSSH side, if you look in the output log (in Linux it is typically /var/log/auth.log) you'll see, "Jun  1 14:06:34 SERVER_HOST sshd[23578]: fatal: Unable to negotiate with XXX.XXX.XXX.XXX port 33934: no matching cipher found. Their offer: aes128-cbc,none,3des-cbc,blowfish-cbc [preauth]". The OpenSSH output is handy because it tells you exactly what the peer (UC Manager in this case) is looking for.<br>

<br>

<br>

The solution is to add support for 1 or more of these ciphers back into the OpenSSH server configuration. Typical Linux distributions have this at /etc/ssh/sshd_config and it looks like, "Ciphers aes128-cbc,3des-cbc,blowfish-cbc". Just to err on the side of caution I would add a few of the ciphers that UC Manager is looking for.<br>

<br>

<br>

Hope this saves some pain,<br>

<br>

= Ryan =<br>

<br>

_______________________________________________<br>

cisco-voip mailing list<br>

</span><a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><mailto:<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a>><br>

<span class=""><a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

<br>

<br>

<br>

<br>

--<br>

Ed Leatherman<br>

_______________________________________________<br>

cisco-voip mailing list<br>

</span><a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><mailto:<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a>><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

<div class="HOEnZb"><div class="h5"><br>

_______________________________________________<br>

cisco-voip mailing list<br>

<a href="mailto:cisco-voip@puck.nether.net">cisco-voip@puck.nether.net</a><br>

<a href="https://puck.nether.net/mailman/listinfo/cisco-voip" rel="noreferrer" target="_blank">https://puck.nether.net/mailman/listinfo/cisco-voip</a><br>

</div></div></blockquote></div><br></div>