Equipamentos PowerProtect série DP e equipamento de proteção de dados de integração: Verificação de vulnerabilidade de segurança detectada "TLS SSL Weak MACs Cipher Suites" na pesquisa

概要: O artigo fornece uma solução temporária para "TLS/SSL Weak Message Code Cipher Suites for Ports 442, 443 e 445" detectada no Search for Integration Data Protection Appliance versão 2.7.2, 2.7.3 e 2.7.4. ...

この記事は次に適用されます：この記事は次には適用されません：この記事は、特定の製品に関連付けられていません。すべての製品パージョンがこの記事に記載されているわけではありません。

手順

Quando a vulnerabilidade a seguir é detectada nas versões 2.7.2, 2.7.3 e 2.7.4 do Integration Data Protection Appliance no componente Search, as portas 442, 443 e 445 (consulte a tabela).

Título da vulnerabilidade	Componentes	Porta de serviço	Protocolo de serviço	Nível de severidade da vulnerabilidade	Descrição da vulnerabilidade	Prova de vulnerabilidade
Conjuntos de codificações de código de autenticação de mensagem fraca TLS SSL	Pesquisa de DP	442	TCP	4	O Transport Layer Security versão 1.2 e versões anteriores incluem suporte para conjuntos de codificações que usam códigos de autenticação de mensagens criptograficamente fracos baseados em hash (HMACs), como MD5 ou SHA1.	Negociado com os seguintes conjuntos de codificações inseguros: * Cifras TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Conjuntos de codificações de código de autenticação de mensagem fraca TLS SSL	Pesquisa de DP	443	TCP	4	O Transport Layer Security versão 1.2 e versões anteriores incluem suporte para conjuntos de codificações que usam códigos de autenticação de mensagens criptograficamente fracos baseados em hash (HMACs), como MD5 ou SHA1.	Negociado com os seguintes conjuntos de codificações inseguros: * Cifras TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Conjuntos de codificações de código de autenticação de mensagem fraca TLS SSL	Pesquisa de DP	445	TCP	4	O Transport Layer Security versão 1.2 e versões anteriores incluem suporte para conjuntos de codificações que usam códigos de autenticação de mensagens criptograficamente fracos baseados em hash (HMACs), como MD5 ou SHA1.	Negociado com os seguintes conjuntos de codificações inseguros: * Cifras TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Siga estas etapas para atenuar o problema:

Abra uma sessão PuTTY para o nó de controle de índice de pesquisa e faça log-in como usuário "root".
Altere o diretório de trabalho para "/etc/nginx" usando o seguinte comando:

cd /etc/nginx

Confirme se os arquivos "nginx.cis.conf" e "nginx.search.conf" existem no diretório:

Search:/etc/nginx #ls -la
total 96
drwxr-xr-x  2 root root 4096 Jun  5 11:42 .
drwxr-xr-x 92 root root 4096 Jul 18 11:51 ..
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf.default
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params.default
-rw-r--r--  1 root root 2837 Apr 19 14:48 koi-utf
-rw-r--r--  1 root root 2223 Apr 19 14:48 koi-win
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types.default
-rw-r--r--  1 root root 1021 Jun  5 11:42 nginx.avamar-action.conf
-rw-r--r--  1 root root 3086 Jun  5 11:39 nginx.cis.conf
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf
-rw-r--r--  1 root root 2656 Apr 19 14:48 nginx.conf.default
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf.tmp
-rw-r--r--  1 root root 1027 Jun  5 11:42 nginx.networker-action.conf
-rw-r--r--  1 root root 2513 Jun  5 11:42 nginx.search.conf
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params.default
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params.default
-rw-r--r--  1 root root 3610 Apr 19 14:48 win-utf
Search:/etc/nginx #

Faça uma cópia dos arquivos atuais "nginx.cis.conf" e "nginx.search.conf":

cp nginx.cis.conf nginx.cis.conf.default
cp nginx.search.conf nginx.search.conf.default

Atualize os ssl_ciphers arquivos "nginx.cis.conf" e "nginx.search.conf":

From:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

To:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

Há duas entradas em "nginx.cis.conf", conforme mostrado abaixo:

Figura 1: Captura de tela do arquivo nginx.cis.conf

Há uma entrada em "nginx.search.conf", conforme mostrado abaixo:

Figura 2: Captura de tela do arquivo nginx.search.conf

Nota: Qualquer linha que comece com "#" é considerada um comentário e não entra em vigor.

Reinicialize o servidor de pesquisa.

systemctl reboot

Os "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA e TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" devem ser removidos da lista de codificações.

Um resultado de digitalização deve ser semelhante a este:

Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000036s latency).
Other addresses for localhost (not scanned): ::1

PORT    STATE SERVICE  VERSION
442/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds
Search:~ #

その他の情報

A verificação de vulnerabilidade de segurança detecta "TLS SSL Weak Message Authentication Code Cipher Suites" também para a porta 30002 na pesquisa.

Título da vulnerabilidade	Componentes	Porta de serviço	Protocolo de serviço	Nível de severidade da vulnerabilidade	Descrição da vulnerabilidade	Prova de vulnerabilidade
Conjuntos de codificações de código de autenticação de mensagem fraca TLS SSL	Pesquisa de DP	30002	TCP	4	O Transport Layer Security versão 1.2 e versões anteriores incluem suporte para conjuntos de codificações que usam códigos de autenticação de mensagens criptograficamente fracos baseados em hash (HMACs), como MD5 ou SHA1.	Negociado com os seguintes conjuntos de codificações inseguros: * Cifras TLS 1.2: * TLS_RSA_WITH_AES_256_CBC_SHA

Os conjuntos de codificações para a porta 30002 estão planejados para serem atualizados depois que o Avamar for atualizado na próxima versão principal do Integration Data Protection Appliance.

Antes de implementar a solução temporária, o resultado da varredura das portas 442, 443, 445 e 30002 seria semelhante a este:

Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000041s latency).
Other addresses for localhost (not scanned): ::1

PORT      STATE  SERVICE        VERSION
442/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
30002/tcp open  ssl/pago-services2?
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds
Search:~ #

対象製品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...

文書番号: 000216308

文書の種類: How To

最終更新: 26 10月 2023

バージョン: 5

お使いのデバイスがサポートサービスの対象かどうかを確認してください。

Equipamentos PowerProtect série DP e equipamento de proteção de dados de integração: Verificação de vulnerabilidade de segurança detectada "TLS SSL Weak MACs Cipher Suites" na pesquisa

概要: O artigo fornece uma solução temporária para "TLS/SSL Weak Message Code Cipher Suites for Ports 442, 443 e 445" detectada no Search for Integration Data Protection Appliance versão 2.7.2, 2.7.3 e 2.7.4. ...

手順

その他の情報

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

ようこそ

Dellへようこそ

Equipamentos PowerProtect série DP e equipamento de proteção de dados de integração: Verificação de vulnerabilidade de segurança detectada "TLS SSL Weak MACs Cipher Suites" na pesquisa

概要: O artigo fornece uma solução temporária para "TLS/SSL Weak Message Code Cipher Suites for Ports 442, 443 e 445" detectada no Search for Integration Data Protection Appliance versão 2.7.2, 2.7.3 e 2.7.4. ... 表示を増やす 表示を減らす

詳細記事

手順

追加情報

対象製品

手順

その他の情報

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

概要: O artigo fornece uma solução temporária para "TLS/SSL Weak Message Code Cipher Suites for Ports 442, 443 e 445" detectada no Search for Integration Data Protection Appliance versão 2.7.2, 2.7.3 e 2.7.4. ...

サポートサービス

サポートサービス