Appliances PowerProtect DP series et Integration Data Protection Appliance: L’analyse des vulnérabilités de sécurité a détecté « TLS SSL Weak MACs Cipher Suites » lors de la recherche

概要: Cet article fournit une solution de contournement pour les suites de chiffrement de code d’authentification de message faible TLS/SSL pour les ports 442, 443 et 445 détectés sur La recherche d’Integration Data Protection Appliance version 2.7.2, 2.7.3 et 2.7.4. ...

この記事は次に適用されます：この記事は次には適用されません：

手順

Lorsque la vulnérabilité suivante est détectée sur Integration Data Protection Appliance versions 2.7.2, 2.7.3 et 2.7.4 sur le composant search, les ports 442, 443 et 445 (voir le tableau).

Titre de la vulnérabilité	divers	Port de service	Protocole de service	Niveau de gravité de la vulnérabilité	Description de la vulnérabilité	Preuve de vulnérabilité
Suites de chiffrement du code d’authentification de message faible TLS SSL	Recherche DP	442	TCP	4	Transport Layer Security version 1.2 et versions antérieures incluent la prise en charge des suites de chiffrement qui utilisent des codes d’authentification de message basés sur le hachage (HMAC) cryptographiquement faibles, tels que MD5 ou SHA1.	Négocié avec les suites de chiffrement non sécurisées suivantes: * Chiffrements TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Suites de chiffrement du code d’authentification de message faible TLS SSL	Recherche DP	443	TCP	4	Transport Layer Security version 1.2 et versions antérieures incluent la prise en charge des suites de chiffrement qui utilisent des codes d’authentification de message basés sur le hachage (HMAC) cryptographiquement faibles, tels que MD5 ou SHA1.	Négocié avec les suites de chiffrement non sécurisées suivantes: * Chiffrements TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
Suites de chiffrement du code d’authentification de message faible TLS SSL	Recherche DP	445	TCP	4	Transport Layer Security version 1.2 et versions antérieures incluent la prise en charge des suites de chiffrement qui utilisent des codes d’authentification de message basés sur le hachage (HMAC) cryptographiquement faibles, tels que MD5 ou SHA1.	Négocié avec les suites de chiffrement non sécurisées suivantes: * Chiffrements TLS 1.2: * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA * TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA

Suivez ces étapes pour atténuer le problème:

Ouvrez une session PuTTY sur le nœud de contrôle d’index de recherche et connectez-vous en tant qu’utilisateur root.
Remplacez le répertoire de travail par « /etc/nginx » à l’aide de la commande suivante:

cd /etc/nginx

Vérifiez que les fichiers « nginx.cis.conf » et « nginx.search.conf » existent dans le répertoire:

Search:/etc/nginx #ls -la
total 96
drwxr-xr-x  2 root root 4096 Jun  5 11:42 .
drwxr-xr-x 92 root root 4096 Jul 18 11:51 ..
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf.default
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params.default
-rw-r--r--  1 root root 2837 Apr 19 14:48 koi-utf
-rw-r--r--  1 root root 2223 Apr 19 14:48 koi-win
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types.default
-rw-r--r--  1 root root 1021 Jun  5 11:42 nginx.avamar-action.conf
-rw-r--r--  1 root root 3086 Jun  5 11:39 nginx.cis.conf
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf
-rw-r--r--  1 root root 2656 Apr 19 14:48 nginx.conf.default
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf.tmp
-rw-r--r--  1 root root 1027 Jun  5 11:42 nginx.networker-action.conf
-rw-r--r--  1 root root 2513 Jun  5 11:42 nginx.search.conf
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params.default
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params.default
-rw-r--r--  1 root root 3610 Apr 19 14:48 win-utf
Search:/etc/nginx #

Effectuez une copie des fichiers actuels « nginx.cis.conf » et « nginx.search.conf »:

cp nginx.cis.conf nginx.cis.conf.default
cp nginx.search.conf nginx.search.conf.default

Mettez à jour le ssl_ciphers sur les fichiers « nginx.cis.conf » et « nginx.search.conf »:

From:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

To:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

Il existe deux entrées dans « nginx.cis.conf », comme indiqué ci-dessous:

Figure 1 : Capture d’écran du fichier nginx.cis.conf

Il existe une entrée dans « nginx.search.conf », comme indiqué ci-dessous:

Figure 2 : Capture d’écran du fichier nginx.search.conf

Remarque : Toute ligne commençant par « # » est considérée comme un commentaire et ne prend pas effet.

Redémarrez le serveur de recherche.

systemctl reboot

Les « TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA et TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA » doivent être supprimés de la liste de chiffrement.

Un résultat d’analyse doit être similaire à ce qui suit:

Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000036s latency).
Other addresses for localhost (not scanned): ::1

PORT    STATE SERVICE  VERSION
442/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds
Search:~ #

その他の情報

L’analyse des vulnérabilités de sécurité détecte également « TLS SSL Weak Message Authentication Code Cipher Suites » pour le port 30002 dans la recherche.

Titre de la vulnérabilité	divers	Port de service	Protocole de service	Niveau de gravité de la vulnérabilité	Description de la vulnérabilité	Preuve de vulnérabilité
Suites de chiffrement du code d’authentification de message faible TLS SSL	Recherche DP	30002	TCP	4	Transport Layer Security version 1.2 et versions antérieures incluent la prise en charge des suites de chiffrement qui utilisent des codes d’authentification de message basés sur le hachage (HMAC) cryptographiquement faibles, tels que MD5 ou SHA1.	Négocié avec les suites de chiffrement non sécurisées suivantes: * Chiffrements TLS 1.2: * TLS_RSA_WITH_AES_256_CBC_SHA

Les combinaisons de chiffrement pour le port 30002 doivent être mises à jour après la mise à jour d’Avamar dans la prochaine version majeure d’Integration Data Protection Appliance.

Avant d’implémenter la solution de contournement, les résultats d’analyse des ports 442, 443, 445 et 30002 sont similaires à ce qui suit:

Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000041s latency).
Other addresses for localhost (not scanned): ::1

PORT      STATE  SERVICE        VERSION
442/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
30002/tcp open  ssl/pago-services2?
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds
Search:~ #

対象製品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...

文書番号: 000216308

文書の種類: How To

最終更新: 26 10月 2023

バージョン: 5

お使いのデバイスがサポートサービスの対象かどうかを確認してください。

Appliances PowerProtect DP series et Integration Data Protection Appliance: L’analyse des vulnérabilités de sécurité a détecté « TLS SSL Weak MACs Cipher Suites » lors de la recherche

概要: Cet article fournit une solution de contournement pour les suites de chiffrement de code d’authentification de message faible TLS/SSL pour les ports 442, 443 et 445 détectés sur La recherche d’Integration Data Protection Appliance version 2.7.2, 2.7.3 et 2.7.4. ...

手順

その他の情報

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポートサービス

ようこそ

Dellへようこそ

Appliances PowerProtect DP series et Integration Data Protection Appliance: L’analyse des vulnérabilités de sécurité a détecté « TLS SSL Weak MACs Cipher Suites » lors de la recherche

詳細記事

手順

追加情報

対象製品

手順

その他の情報

対象製品

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

文書のプロパティ

質問に対する他のDellユーザーからの回答を見つける

サポート サービス

サポートサービス

サポートサービス