文書番号: 000216308
PowerProtect DPシリーズ アプライアンスおよび統合データ保護アプライアンス: セキュリティ脆弱性スキャンが検索で「TLS SSL弱MAC暗号スイート」を検出しました
概要: この記事では、Search for Integration Data Protection Applianceバージョン2.7.2、2.7.3、2.7.4で検出された「TLS/SSL Weak Message Authentication Code Cipher Suites for Ports 442, 443, and 445」の回避策について説明します。
文書の内容
手順
検索コンポーネント、ポート442、443、445で、Integration Data Protection Applianceバージョン2.7.2、2.7.3、2.7.4で次の脆弱性が検出された場合(表を参照)。
問題を軽減するには、次の手順に従います。
以下に示すように、「nginx.cis.conf」には2つのエントリーがあります。
図1: nginx.cis.confファイルのスクリーンショット
以下に示すように、「nginx.search.conf」にエントリーが1つあります。
図2:nginx.search.confファイルのスクリーンショット
| 脆弱性タイトル | コンポーネント | サービス ポート | サービス プロトコル | 脆弱性の重大度 レベル |
脆弱性の説明 | 脆弱性の証明 |
| TLS SSL弱メッセージ認証コード暗号スイート | DP検索 | 442 | TCP | 4 | Transport Layer Securityバージョン1.2以前には、MD5やSHA1などの暗号化形式に弱いHLIC(ハッシュ ベースのメッセージ認証コード)を使用する暗号スイートのサポートが含まれています。 | 次の安全でない暗号スイートとのネゴシエート: * TLS 1.2暗号: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| TLS SSL弱メッセージ認証コード暗号スイート | DP検索 | 443 | TCP | 4 | Transport Layer Securityバージョン1.2以前には、MD5やSHA1などの暗号化形式に弱いHLIC(ハッシュ ベースのメッセージ認証コード)を使用する暗号スイートのサポートが含まれています。 | 次の安全でない暗号スイートとのネゴシエート: * TLS 1.2暗号: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| TLS SSL弱メッセージ認証コード暗号スイート | DP検索 | 445 | TCP | 4 | Transport Layer Securityバージョン1.2以前には、MD5やSHA1などの暗号化形式に弱いHLIC(ハッシュ ベースのメッセージ認証コード)を使用する暗号スイートのサポートが含まれています。 | 次の安全でない暗号スイートとのネゴシエート: * TLS 1.2暗号: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
問題を軽減するには、次の手順に従います。
- 検索インデックス コントロール ノードへのPuTTYセッションを開き、「root」ユーザーとしてログインします。
- 次のコマンドを使用して、作業ディレクトリーを「/etc/nginx」に変更します。
cd /etc/nginx
- 「nginx.cis.conf」および「nginx.search.conf」ファイルがディレクトリに存在することを確認します。
Search:/etc/nginx #ls -la total 96 drwxr-xr-x 2 root root 4096 Jun 5 11:42 . drwxr-xr-x 92 root root 4096 Jul 18 11:51 .. -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf.default -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params.default -rw-r--r-- 1 root root 2837 Apr 19 14:48 koi-utf -rw-r--r-- 1 root root 2223 Apr 19 14:48 koi-win -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types.default -rw-r--r-- 1 root root 1021 Jun 5 11:42 nginx.avamar-action.conf -rw-r--r-- 1 root root 3086 Jun 5 11:39 nginx.cis.conf -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf -rw-r--r-- 1 root root 2656 Apr 19 14:48 nginx.conf.default -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf.tmp -rw-r--r-- 1 root root 1027 Jun 5 11:42 nginx.networker-action.conf -rw-r--r-- 1 root root 2513 Jun 5 11:42 nginx.search.conf -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params.default -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params.default -rw-r--r-- 1 root root 3610 Apr 19 14:48 win-utf Search:/etc/nginx #
- 現在の「nginx.cis.conf」および「nginx.search.conf」ファイルのコピーを作成します。
cp nginx.cis.conf nginx.cis.conf.default cp nginx.search.conf nginx.search.conf.default
- 「nginx.cis.conf」および「nginx.search.conf」ファイルのssl_ciphersを更新します。
From: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES'; To: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';
以下に示すように、「nginx.cis.conf」には2つのエントリーがあります。
図1: nginx.cis.confファイルのスクリーンショット
以下に示すように、「nginx.search.conf」にエントリーが1つあります。
図2:nginx.search.confファイルのスクリーンショット
メモ: 「#」で始まる行はコメントとみなされ、有効になりません。
- 検索サーバーを再起動します。
systemctl reboot
- 「TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAとTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA」は暗号リストから削除する必要があります。
スキャン結果は次のようになります。
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000036s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds Search:~ #
その他の情報
セキュリティ脆弱性スキャンでは、Searchのポート30002の「TLS SSL Weak Message Authentication Code Cipher Suites」も検出します。
ポート30002の暗号訴訟は、次の統合データ保護アプライアンスのメジャー リリースでAvamarが更新された後に更新される予定です。
回避策を実装する前に、ポート442、443、445、30002のスキャン結果は次のようになります。
| 脆弱性タイトル | コンポーネント | サービス ポート | サービス プロトコル | 脆弱性の重大度 レベル |
脆弱性の説明 | 脆弱性の証明 |
| TLS SSL弱メッセージ認証コード暗号スイート | DP検索 | 30002 | TCP | 4 | Transport Layer Securityバージョン1.2以前には、MD5やSHA1などの暗号化形式に弱いHLIC(ハッシュ ベースのメッセージ認証コード)を使用する暗号スイートのサポートが含まれています。 | 次の安全でない暗号スイートとのネゴシエート: * TLS 1.2暗号: * TLS_RSA_WITH_AES_256_CBC_SHA |
ポート30002の暗号訴訟は、次の統合データ保護アプライアンスのメジャー リリースでAvamarが更新された後に更新される予定です。
回避策を実装する前に、ポート442、443、445、30002のスキャン結果は次のようになります。
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000041s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 30002/tcp open ssl/pago-services2? | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A | compressors: | NULL | cipher preference: client |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds Search:~ #
文書のプロパティ
影響を受ける製品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
最後に公開された日付
26 10月 2023
バージョン
5
文書の種類
How To