PowerProtect DP -sarjan laitteet ja integroinnin tietojen suojauslaite: Tietoturvahaavoittuvuuden tarkistus havaittu "TLS SSL Weak MACs Cipher Suites" haussa
概要: Artikkeli sisältää kiertotavan ongelmalle TLS/SSL Weak Message Authentication Code Cipher Suite for Ports 442, 443 ja 445, kun Search for Integration Data Protection Appliancen versiot 2.7.2, 2.7.3 ja 2.7.4 havaitaan. ...
この記事は次に適用されます:
この記事は次には適用されません:
手順
Kun Integration Data Protection Appliance -versioissa 2.7.2, 2.7.3 ja 2.7.4 havaitaan seuraava haavoittuvuus hakukomponentissa, porteissa 442, 443 ja 445 (katso taulukkoa).
Voit vähentää ongelmaa seuraavasti:
Nginx.cis.conf-tiedostossa on kaksi merkintää, kuten kuvassa:
Kuva 1: Näyttökuva nginx.cis.conf-tiedostosta
Nginx.search.conf-tiedostossa on seuraava merkintä:
Kuva 2: Näyttökuva nginx.search.conf-tiedostosta
| Haavoittuvuuden otsikko | Osia | huoltoportti | Palveluprotokolla | Haavoittuvuuden vakavuustaso |
Haavoittuvuuden kuvaus | Haavoittuvuuden tarkistus |
| TLS SSL Weak Message Authentication Code Cipher Suites | DP-haku | 442 | TCP | 4 | Transport Layer Security -versio 1.2 ja aiemmat sisältävät salausohjelmistojen tuen, kun niissä käytetään salausvirheisiin perustuvia hajautusarvopohjaisia viestien todennuskoodeja (HMAC), kuten MD5 tai SHA1. | Neuvoteltu seuraavien suojaamättömien salausohjelmistojen kanssa: * TLS 1.2 -salakirjoitukset: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| TLS SSL Weak Message Authentication Code Cipher Suites | DP-haku | 443 | TCP | 4 | Transport Layer Security -versio 1.2 ja aiemmat sisältävät salausohjelmistojen tuen, kun niissä käytetään salausvirheisiin perustuvia hajautusarvopohjaisia viestien todennuskoodeja (HMAC), kuten MD5 tai SHA1. | Neuvoteltu seuraavien suojaamättömien salausohjelmistojen kanssa: * TLS 1.2 -salakirjoitukset: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
| TLS SSL Weak Message Authentication Code Cipher Suites | DP-haku | 445 | TCP | 4 | Transport Layer Security -versio 1.2 ja aiemmat sisältävät salausohjelmistojen tuen, kun niissä käytetään salausvirheisiin perustuvia hajautusarvopohjaisia viestien todennuskoodeja (HMAC), kuten MD5 tai SHA1. | Neuvoteltu seuraavien suojaamättömien salausohjelmistojen kanssa: * TLS 1.2 -salakirjoitukset: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA |
Voit vähentää ongelmaa seuraavasti:
- Avaa PuTTY-istunto hakuhakemiston hallintasolmuun ja kirjaudu sisään root-käyttäjänä.
- Vaihda working-hakemistoksi /etc/nginx seuraavalla komennolla:
cd /etc/nginx
- Varmista, että nginx.cis.conf- ja nginx.search.conf-tiedostot ovat hakemistossa:
Search:/etc/nginx #ls -la total 96 drwxr-xr-x 2 root root 4096 Jun 5 11:42 . drwxr-xr-x 92 root root 4096 Jul 18 11:51 .. -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf.default -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params.default -rw-r--r-- 1 root root 2837 Apr 19 14:48 koi-utf -rw-r--r-- 1 root root 2223 Apr 19 14:48 koi-win -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types.default -rw-r--r-- 1 root root 1021 Jun 5 11:42 nginx.avamar-action.conf -rw-r--r-- 1 root root 3086 Jun 5 11:39 nginx.cis.conf -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf -rw-r--r-- 1 root root 2656 Apr 19 14:48 nginx.conf.default -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf.tmp -rw-r--r-- 1 root root 1027 Jun 5 11:42 nginx.networker-action.conf -rw-r--r-- 1 root root 2513 Jun 5 11:42 nginx.search.conf -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params.default -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params.default -rw-r--r-- 1 root root 3610 Apr 19 14:48 win-utf Search:/etc/nginx #
- Kopioi nykyiset nginx.cis.conf- ja nginx.search.conf-tiedostot:
cp nginx.cis.conf nginx.cis.conf.default cp nginx.search.conf nginx.search.conf.default
- Päivitä ssl_ciphers nginx.cis.conf- ja nginx.search.conf-tiedostoissa:
From: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES'; To: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';
Nginx.cis.conf-tiedostossa on kaksi merkintää, kuten kuvassa:
Kuva 1: Näyttökuva nginx.cis.conf-tiedostosta
Nginx.search.conf-tiedostossa on seuraava merkintä:
Kuva 2: Näyttökuva nginx.search.conf-tiedostosta
HUOMAUTUS: Kaikki rivit, joiden alussa on "#", tulkitaan kommentiksi, eivätkä ne oteta käyttöön.
- Käynnistä hakupalvelin uudelleen.
systemctl reboot
- Poista TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA ja TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA salausluettelosta.
Skannaustuloksen pitäisi olla seuraavanlainen:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000036s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds Search:~ #
その他の情報
Tietoturvaongelmatarkistus havaitsee haussa myös TLS SSL Weak Message Authentication Code Cipher Suites -virheilmoituksen portissa 30002.
Portin 30002 salakirjoituksen koodaus on tarkoitus päivittää, kun Avamar on päivitetty tulevassa Integration Data Protection Appliance -pääjulkaisussa.
Ennen kiertotavan toteuttamista porttien 442, 443, 445 ja 30002 skannaustulos on seuraavanlainen:
| Haavoittuvuuden otsikko | Osia | huoltoportti | Palveluprotokolla | Haavoittuvuuden vakavuustaso |
Haavoittuvuuden kuvaus | Haavoittuvuuden tarkistus |
| TLS SSL Weak Message Authentication Code Cipher Suites | DP-haku | 30002 | TCP | 4 | Transport Layer Security -versio 1.2 ja aiemmat sisältävät salausohjelmistojen tuen, kun niissä käytetään salausvirheisiin perustuvia hajautusarvopohjaisia viestien todennuskoodeja (HMAC), kuten MD5 tai SHA1. | Neuvoteltu seuraavien suojaamättömien salausohjelmistojen kanssa: * TLS 1.2 -salakirjoitukset: * TLS_RSA_WITH_AES_256_CBC_SHA |
Portin 30002 salakirjoituksen koodaus on tarkoitus päivittää, kun Avamar on päivitetty tulevassa Integration Data Protection Appliance -pääjulkaisussa.
Ennen kiertotavan toteuttamista porttien 442, 443, 445 ja 30002 skannaustulos on seuraavanlainen:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000041s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 30002/tcp open ssl/pago-services2? | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A | compressors: | NULL | cipher preference: client |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds Search:~ #
対象製品
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...