Устройства PowerProtect серии DP и Integration Data Protection Appliance. Сканирование уязвимостей системы безопасности обнаружило «TLS SSL Weak MACs Cipher Suites» при поиске
概要: В статье приведено временное решение проблемы« Пакеты аутентификации с кодом аутентификации сообщений TLS/SSL для портов 442, 443 и 445», обнаруженные в search for Integration Data Protection Appliance версии 2.7.2, 2.7.3 и 2.7.4. ...
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
手順
При обнаружении следующей уязвимости на компонентах поиска Integration Data Protection Appliance версий 2.7.2, 2.7.3 и 2.7.4 на компонентах поиска порты 442, 443 и 445 (см. таблицу).
Чтобы устранить проблему, выполните следующие действия:
В файле «nginx.cis.conf» есть две записи, как показано ниже:
Рис. 1. Снимок экрана файла nginx.cis.conf
Существует одна запись в файле «nginx.search.conf», как показано ниже:
Рис. 2. Снимок экрана файла nginx.search.conf
| Заголовок уязвимости | Компоненты | Служебный порт | Сервисный протокол | Уровень серьезности уязвимости |
Описание уязвимости | Доказательство уязвимости |
| Пакеты шифрования кода аутентификации сообщений SSL TLS | Поиск по DP | 442 | TCP | 4. | Transport Layer Security версии 1.2 и более ранних включает поддержку пакетов шифрования, в которых используются криптографически слабые коды аутентификации сообщений на основе хэша (HMAC), такие как MD5 или SHA1. | Согласовано со следующими небезопасными пакетами шифров: * Шифры TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| Пакеты шифрования кода аутентификации сообщений SSL TLS | Поиск по DP | 443 | TCP | 4. | Transport Layer Security версии 1.2 и более ранних включает поддержку пакетов шифрования, в которых используются криптографически слабые коды аутентификации сообщений на основе хэша (HMAC), такие как MD5 или SHA1. | Согласовано со следующими небезопасными пакетами шифров: * Шифры TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| Пакеты шифрования кода аутентификации сообщений SSL TLS | Поиск по DP | 445 | TCP | 4. | Transport Layer Security версии 1.2 и более ранних включает поддержку пакетов шифрования, в которых используются криптографически слабые коды аутентификации сообщений на основе хэша (HMAC), такие как MD5 или SHA1. | Согласовано со следующими небезопасными пакетами шифров: * Шифры TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Чтобы устранить проблему, выполните следующие действия:
- Откройте сессию PuTTY к узлу управления индексом поиска и войдите в систему как пользователь «root».
- Измените рабочий каталог на «/etc/nginx», выполнив следующую команду:
cd /etc/nginx
- Убедитесь, что файлы «nginx.cis.conf» и «nginx.search.conf» существуют в каталоге:
Search:/etc/nginx #ls -la total 96 drwxr-xr-x 2 root root 4096 Jun 5 11:42 . drwxr-xr-x 92 root root 4096 Jul 18 11:51 .. -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf.default -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params.default -rw-r--r-- 1 root root 2837 Apr 19 14:48 koi-utf -rw-r--r-- 1 root root 2223 Apr 19 14:48 koi-win -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types.default -rw-r--r-- 1 root root 1021 Jun 5 11:42 nginx.avamar-action.conf -rw-r--r-- 1 root root 3086 Jun 5 11:39 nginx.cis.conf -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf -rw-r--r-- 1 root root 2656 Apr 19 14:48 nginx.conf.default -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf.tmp -rw-r--r-- 1 root root 1027 Jun 5 11:42 nginx.networker-action.conf -rw-r--r-- 1 root root 2513 Jun 5 11:42 nginx.search.conf -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params.default -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params.default -rw-r--r-- 1 root root 3610 Apr 19 14:48 win-utf Search:/etc/nginx #
- Сделайте копию текущих файлов «nginx.cis.conf» и «nginx.search.conf»:
cp nginx.cis.conf nginx.cis.conf.default cp nginx.search.conf nginx.search.conf.default
- Обновите ssl_ciphers на файлах «nginx.cis.conf» и «nginx.search.conf»:
From: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES'; To: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';
В файле «nginx.cis.conf» есть две записи, как показано ниже:
Рис. 1. Снимок экрана файла nginx.cis.conf
Существует одна запись в файле «nginx.search.conf», как показано ниже:
Рис. 2. Снимок экрана файла nginx.search.conf
ПРИМЕЧАНИЕ. Любая строка, которая начинается с «#», считается комментарием и не вступит в силу.
- Перезагрузите сервер поиска.
systemctl reboot
- Параметр «TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA и TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA» следует удалить из списка шифров.
Результат сканирования должен быть таким же:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000036s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds Search:~ #
その他の情報
При сканировании уязвимости системы безопасности также обнаруживаются пакеты шифрования «TLS SSL SSL Weak Message Authentication Code Cipher Suites» для порта 30002 в результатах поиска.
Использование шифра для порта 30002 планируется обновить после обновления Avamar в предстоящем важном выпуске Integration Data Protection Appliance.
Перед реализацией временного решения проблемы результат сканирования портов 442, 443, 445 и 30002 будет таким же:
| Заголовок уязвимости | Компоненты | Служебный порт | Сервисный протокол | Уровень серьезности уязвимости |
Описание уязвимости | Доказательство уязвимости |
| Пакеты шифрования кода аутентификации сообщений SSL TLS | Поиск по DP | 30002 | TCP | 4. | Transport Layer Security версии 1.2 и более ранних включает поддержку пакетов шифрования, в которых используются криптографически слабые коды аутентификации сообщений на основе хэша (HMAC), такие как MD5 или SHA1. | Согласовано со следующими небезопасными пакетами шифров: * Шифры TLS 1.2: * TLS_RSA_WITH_AES_256_CBC_SHA |
Использование шифра для порта 30002 планируется обновить после обновления Avamar в предстоящем важном выпуске Integration Data Protection Appliance.
Перед реализацией временного решения проблемы результат сканирования портов 442, 443, 445 и 30002 будет таким же:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000041s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 30002/tcp open ssl/pago-services2? | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A | compressors: | NULL | cipher preference: client |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds Search:~ #
対象製品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文書のプロパティ
文書番号: 000216308
文書の種類: How To
最終更新: 26 10月 2023
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。