PowerProtect DP 系列應用裝置和整合資料保護應用裝置:在搜尋時偵測到安全性漏洞掃描偵測到「TLS SSL 弱型 MACs Cipher Suite」
概要: 本文針對在搜尋整合資料保護應用裝置 2.7.2、2.7.3 和 2.7.4 版上偵測到的「TLS/SSL 弱訊息驗證代碼 Cipher Suites for Ports 442、443 和 445」提供因應措施。
この記事は次に適用されます:
この記事は次には適用されません:
この記事は、特定の製品に関連付けられていません。
すべての製品パージョンがこの記事に記載されているわけではありません。
手順
當在搜尋元件、埠 442、443 和 445 的 Integration Data Protection Appliance 版本 2.7.2、2.7.3 和 2.7.4 上偵測到以下漏洞時 (請參閱表格)。
請遵循這些步驟來緩解此問題:
「nginx.cis.conf」中有兩個專案,如下所示:
圖 1:nginx.cis.conf 檔案的螢幕擷取畫面
「nginx.search.conf」中有一個專案,如下所示:
圖 2:nginx.search.conf 檔案的螢幕擷取畫面
| 漏洞標題 | 元件 | 服務埠 | 服務通訊協定 | 漏洞嚴重程度 |
漏洞說明 | 漏洞證明 |
| TLS SSL 弱訊息驗證代碼加密套件 | DP 搜尋 | 442 | TCP | 4 | 傳輸層安全性版本 1.2 及更早版本包括支援使用密碼編譯較弱雜湊型訊息驗證代碼 (HMAC),例如 MD5 或 SHA1 的加密套件。 | 與下列不安全的加密套件進行協商: * TLS 1.2 加密: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| TLS SSL 弱訊息驗證代碼加密套件 | DP 搜尋 | 443 | TCP | 4 | 傳輸層安全性版本 1.2 及更早版本包括支援使用密碼編譯較弱雜湊型訊息驗證代碼 (HMAC),例如 MD5 或 SHA1 的加密套件。 | 與下列不安全的加密套件進行協商: * TLS 1.2 加密: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| TLS SSL 弱訊息驗證代碼加密套件 | DP 搜尋 | 445 | TCP | 4 | 傳輸層安全性版本 1.2 及更早版本包括支援使用密碼編譯較弱雜湊型訊息驗證代碼 (HMAC),例如 MD5 或 SHA1 的加密套件。 | 與下列不安全的加密套件進行協商: * TLS 1.2 加密: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
請遵循這些步驟來緩解此問題:
- 開啟 PuTTY 會話至搜尋索引控制節點,並以「root」使用者身分登入。
- 使用下列命令將工作目錄變更為「/etc/nginx」:
cd /etc/nginx
- 確認目錄中存在「nginx.cis.conf」和「nginx.search.conf」檔案:
Search:/etc/nginx #ls -la total 96 drwxr-xr-x 2 root root 4096 Jun 5 11:42 . drwxr-xr-x 92 root root 4096 Jul 18 11:51 .. -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf.default -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params.default -rw-r--r-- 1 root root 2837 Apr 19 14:48 koi-utf -rw-r--r-- 1 root root 2223 Apr 19 14:48 koi-win -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types.default -rw-r--r-- 1 root root 1021 Jun 5 11:42 nginx.avamar-action.conf -rw-r--r-- 1 root root 3086 Jun 5 11:39 nginx.cis.conf -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf -rw-r--r-- 1 root root 2656 Apr 19 14:48 nginx.conf.default -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf.tmp -rw-r--r-- 1 root root 1027 Jun 5 11:42 nginx.networker-action.conf -rw-r--r-- 1 root root 2513 Jun 5 11:42 nginx.search.conf -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params.default -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params.default -rw-r--r-- 1 root root 3610 Apr 19 14:48 win-utf Search:/etc/nginx #
- 製作目前「nginx.cis.conf」和「nginx.search.conf」檔案的複本:
cp nginx.cis.conf nginx.cis.conf.default cp nginx.search.conf nginx.search.conf.default
- 在「nginx.cis.conf」和「nginx.search.conf」檔案上更新ssl_ciphers:
From: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES'; To: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';
「nginx.cis.conf」中有兩個專案,如下所示:
圖 1:nginx.cis.conf 檔案的螢幕擷取畫面
「nginx.search.conf」中有一個專案,如下所示:
圖 2:nginx.search.conf 檔案的螢幕擷取畫面
注意:任何以「#」開頭的行都視為意見,不會生效。
- 重新開機搜尋伺服器。
systemctl reboot
- 「TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA與TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA」應從加密清單中移除。
掃描結果應類似:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000036s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds Search:~ #
その他の情報
安全性漏洞掃描也會在搜尋時偵測埠 30002 的「TLS SSL 弱訊息驗證代碼 Cipher Suites」。
埠 30002 的加密套裝計畫在即將推出的整合資料保護應用裝置主要版本中更新 Avamar 之後更新。
實作因應措施之前,埠 442、443、445 和 30002 掃描結果類似:
| 漏洞標題 | 元件 | 服務埠 | 服務通訊協定 | 漏洞嚴重程度 |
漏洞說明 | 漏洞證明 |
| TLS SSL 弱訊息驗證代碼加密套件 | DP 搜尋 | 30002 | TCP | 4 | 傳輸層安全性版本 1.2 及更早版本包括支援使用密碼編譯較弱雜湊型訊息驗證代碼 (HMAC),例如 MD5 或 SHA1 的加密套件。 | 與下列不安全的加密套件進行協商: * TLS 1.2 加密: * TLS_RSA_WITH_AES_256_CBC_SHA |
埠 30002 的加密套裝計畫在即將推出的整合資料保護應用裝置主要版本中更新 Avamar 之後更新。
實作因應措施之前,埠 442、443、445 和 30002 掃描結果類似:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000041s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 30002/tcp open ssl/pago-services2? | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A | compressors: | NULL | cipher preference: client |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds Search:~ #
対象製品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
文書のプロパティ
文書番号: 000216308
文書の種類: How To
最終更新: 26 10月 2023
バージョン: 5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。