メイン コンテンツに進む
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能

Zařízení PowerProtect řady DP a zařízení na ochranu dat integrace: Při vyhledávání bylo zjištěno skenování zranitelností zabezpečení "TLS SSL Weak MACs Cipher Suite"

概要: Tento článek poskytuje náhradní řešení pro "sady cipher suite protokolu TLS/SSL se slabým hlášením pro porty 442, 443 a 445", která byla zjištěna při vyhledávání zařízení na ochranu dat integrace verze 2.7.2, 2.7.3 a 2.7.4. ...

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

手順

Pokud je v zařízení Integration Data Protection Appliance verze 2.7.2, 2.7.3 a 2.7.4 ve vyhledávací komponentě, portech 442, 443 a 445 rozpoznána následující chyba zabezpečení (viz tabulka).
 
Název zranitelnosti Součásti Servisní port Protokol služby Stupeň závažnosti
zranitelnosti
Popis chyby zabezpečení Důkaz o zranitelnosti
Sady cipher suite protokolu TLS SSL se slabým ověřovacím kódem zprávy Vyhledávání DP 442 TCP 4 Nástroj Transport Layer Security verze 1.2 a starší zahrnuje podporu sad šifer, které používají šifrovací, slabé kódy HMAC (Hash-Based Message Authentication Code), například MD5 nebo SHA1. Vyjednáno s následujícími nezabezpečenou sadou šifer:
    * Šifry TLS 1.2:
       * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Sady cipher suite protokolu TLS SSL se slabým ověřovacím kódem zprávy Vyhledávání DP 443 TCP 4 Nástroj Transport Layer Security verze 1.2 a starší zahrnuje podporu sad šifer, které používají šifrovací, slabé kódy HMAC (Hash-Based Message Authentication Code), například MD5 nebo SHA1. Vyjednáno s následujícími nezabezpečenou sadou šifer:
    * Šifry TLS 1.2:
       * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Sady cipher suite protokolu TLS SSL se slabým ověřovacím kódem zprávy Vyhledávání DP 445 TCP 4 Nástroj Transport Layer Security verze 1.2 a starší zahrnuje podporu sad šifer, které používají šifrovací, slabé kódy HMAC (Hash-Based Message Authentication Code), například MD5 nebo SHA1. Vyjednáno s následujícími nezabezpečenou sadou šifer:
    * Šifry TLS 1.2:
       * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA


Problém zmírníte pomocí těchto kroků:
  1. Otevřete relaci PuTTY pro uzel řízení indexu vyhledávání a přihlaste se jako uživatel "root". 
  2. Pomocí následujícího příkazu změňte pracovní adresář na "/etc/nginx": 
cd /etc/nginx
  1. Ověřte, zda v adresáři existují soubory "nginx.cis.conf" a "nginx.search.conf":
Search:/etc/nginx #ls -la
total 96
drwxr-xr-x  2 root root 4096 Jun  5 11:42 .
drwxr-xr-x 92 root root 4096 Jul 18 11:51 ..
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf.default
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params.default
-rw-r--r--  1 root root 2837 Apr 19 14:48 koi-utf
-rw-r--r--  1 root root 2223 Apr 19 14:48 koi-win
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types.default
-rw-r--r--  1 root root 1021 Jun  5 11:42 nginx.avamar-action.conf
-rw-r--r--  1 root root 3086 Jun  5 11:39 nginx.cis.conf
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf
-rw-r--r--  1 root root 2656 Apr 19 14:48 nginx.conf.default
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf.tmp
-rw-r--r--  1 root root 1027 Jun  5 11:42 nginx.networker-action.conf
-rw-r--r--  1 root root 2513 Jun  5 11:42 nginx.search.conf
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params.default
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params.default
-rw-r--r--  1 root root 3610 Apr 19 14:48 win-utf
Search:/etc/nginx #
  1. Vytvořte kopii aktuálních souborů "nginx.cis.conf" a "nginx.search.conf":
cp nginx.cis.conf nginx.cis.conf.default
cp nginx.search.conf nginx.search.conf.default
  1. Aktualizujte ssl_ciphers v souborech "nginx.cis.conf" a "nginx.search.conf":
From:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

To:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

V souboru "nginx.cis.conf" jsou dvě položky, jak je znázorněno níže:
Snímek souboru nginx.cis.conf
Obrázek 1: Snímek souboru nginx.cis.conf

V souboru "nginx.search.conf" je uveden jeden záznam, jak je znázorněno níže:
Snímek souboru nginx.search.conf
Obrázek 2: 
Snímek souboru nginx.search.conf
 
POZNÁMKA: Jakýkoli řádek začínající na "#" je považován za komentář a nebude se projevovat.
 
  1. Restartujte vyhledávací server.
systemctl reboot
  1. Položka "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA and TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" by měla být odebrána ze seznamu šifer. 
Výsledek skenování by měl být podobný tomuto:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000036s latency).
Other addresses for localhost (not scanned): ::1

PORT    STATE SERVICE  VERSION
442/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds
Search:~ #

その他の情報

Skenování zabezpečení detekuje při vyhledávání také zprávu "TLS SSL Weak Message Authentication Code Cipher Suite" u portu 30002.
 
Název zranitelnosti Součásti Servisní port Protokol služby Stupeň závažnosti
zranitelnosti
Popis chyby zabezpečení Důkaz o zranitelnosti
Sady cipher suite protokolu TLS SSL se slabým ověřovacím kódem zprávy Vyhledávání DP 30002 TCP 4 Nástroj Transport Layer Security verze 1.2 a starší zahrnuje podporu sad šifer, které používají šifrovací, slabé kódy HMAC (Hash-Based Message Authentication Code), například MD5 nebo SHA1. Vyjednáno s následujícími nezabezpečenou sadou šifer:
    * Šifry TLS 1.2:
       * TLS_RSA_WITH_AES_256_CBC_SHA

Po aktualizaci serveru Avamar v chystaném vydání hlavního vydání zařízení Integration Data Protection Appliance je plánována aktualizace funkcí cipher suit pro port 30002. 

Před implementací zástupného řešení by výsledek skenování portů 442, 443, 445 a 30002 byl podobný tomuto:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000041s latency).
Other addresses for localhost (not scanned): ::1

PORT      STATE  SERVICE        VERSION
442/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
30002/tcp open  ssl/pago-services2?
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds
Search:~ #

対象製品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文書のプロパティ
文書番号: 000216308
文書の種類: How To
最終更新: 26 10月 2023
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。