PowerProtect: Серія ДП та IDPA: Уразливість "X.509 Certificate Subject CN не збігається з іменем сутності" для порту сервера Avamar 9443
Summary: Пристрої серії PowerProtect Data Protection (DP) та інтегровані пристрої для захисту даних (IDPA): Сканування вразливостей системи безпеки виявило «X.509 Certificate Subject CN не відповідає імені сутності» для порту сервера Avamar 9443 для IDPA версії 2.7.7 або нижче. У цій статті наведено порядок вирішення проблеми. ...
Ця стаття стосується
Ця стаття не стосується
Ця стаття не стосується якогось конкретного продукту.
У цій статті зазначено не всі версії продукту.
Symptoms
На програмному забезпеченні захисту (Avamar Server) для всіх версій IDPA на версії 2.7.7 або нижче можуть бути виявлені такі вразливості:
| Назва вразливості | Оцінка CVSS2 | Найменування активу | Доказ вразливості | Порт | Протокол | Рекомендація |
| X.509 Subject CN не збігається з назвою сутності. | 7.1 | Авамар | Загальна назва об'єкта, знайдена в сертифікаті X.509, не відповідає цілі сканування: Тема CN Administrator не збігається з іменем Domain Name System (DNS), зазначеним на сайті. | 9443 | ПТС | Виправте поле «Загальна назва» суб'єкта (CN) у сертифікаті. |
Cause
Самопідписаний SSL-сертифікат Avamar Server за замовчуванням на порту 9443 має загальне ім'я (CN), встановлене на Адміністратор. З веб-інтерфейсу Avamar на порту 9443 сертифікат відображає інформацію CN наступним чином:
Малюнок 1: Сертифікат сервера Avamar за замовчуванням на порту 9443 показує CN = Administrator.
Також цю ж інформацію можна знайти з виводу командного рядка:
Малюнок 1: Сертифікат сервера Avamar за замовчуванням на порту 9443 показує CN = Administrator.
Також цю ж інформацію можна знайти з виводу командного рядка:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
Ось процедура оновлення сертифіката на сервері Avamar на порту 9443:
1. Зупиніть роботу служб Avamar Management Console Server (MCS) і EM Tomcat (EMT):
2. Створіть резервну копію та згенеруйте новий сертифікат MCS Developer Kit (MCSDK):
3. Створіть резервну копію та оновіть сертифікат адміністратора:
Для Avamar 19.4 або більш ранніх версій:
Для Avamar 19.8 або пізніших версій:
4. Оновіть сертифікат Avinstaller:
5. Запустіть Avamar MC Server і послуги EMT:
CN сертифіката мав бути оновлений до імені хоста. Ось приклад виведення:
Малюнок 2: CN сертифіката зіставляється з назвою машини.
Цю ж інформацію можна знайти у виводі командного рядка:
Після генерації нового сертифіката Avamar MC Server інформація про сервер Avamar також повинна бути оновлена в Центрі захисту даних (DPC):
1. Увійдіть у веб-інтерфейс користувача DPC як administrator@dpc.local.
2. Виберіть сервер Avamar у розділі «Керування системою» та «Редагувати» його.
3. Оновіть облікові дані Avamar, ім'я користувача Avamar — «MCUser», а потім натисніть «Далі».
4. Прийміть зміну сертифіката та "Зберегти" його.
Малюнок 3: Прийміть новий сертифікат сервера Avamar у форматі DPC.
1. Зупиніть роботу служб Avamar Management Console Server (MCS) і EM Tomcat (EMT):
dpnctl stop mcs dpnctl stop emt
2. Створіть резервну копію та згенеруйте новий сертифікат MCS Developer Kit (MCSDK):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Створіть резервну копію та оновіть сертифікат адміністратора:
Для Avamar 19.4 або більш ранніх версій:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Для Avamar 19.8 або пізніших версій:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Оновіть сертифікат Avinstaller:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Запустіть Avamar MC Server і послуги EMT:
dpnctl start mcs dpnctl start emt
CN сертифіката мав бути оновлений до імені хоста. Ось приклад виведення:
Малюнок 2: CN сертифіката зіставляється з назвою машини.
Цю ж інформацію можна знайти у виводі командного рядка:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
Після генерації нового сертифіката Avamar MC Server інформація про сервер Avamar також повинна бути оновлена в Центрі захисту даних (DPC):
1. Увійдіть у веб-інтерфейс користувача DPC як administrator@dpc.local.
2. Виберіть сервер Avamar у розділі «Керування системою» та «Редагувати» його.
3. Оновіть облікові дані Avamar, ім'я користувача Avamar — «MCUser», а потім натисніть «Далі».
4. Прийміть зміну сертифіката та "Зберегти" його.
Малюнок 3: Прийміть новий сертифікат сервера Avamar у форматі DPC.
Additional Information
Для проксі-портів Avamar 443 і 5480:
На Avamar Proxy може бути виявлена наступна вразливість для всіх версій IDPA на 2.7.6 або нижче:
Проблему вирішено в Avamar Proxy версії 19.10. Оновіть IDPA до версії 2.7.7, і вона включає версію Avamar 19.10.
Обхідний шлях для IDPA 2.7.6 або нижче можна знайти в Посібнику користувача Dell Avamar для VMware 19.9. Процедура знаходиться в розділі "Імпорт користувацького сертифіката в Avamar VMware Image Backup Proxy". Також є: Авамар: Як замінити сертифікат на Avamar VMware Image Backup Proxy ." (Потрібна автентифікація на порталі підтримки Dell)
На Avamar Proxy може бути виявлена наступна вразливість для всіх версій IDPA на 2.7.6 або нижче:
| Назва вразливості | Оцінка CVSS2 | Найменування активу | Доказ вразливості | Порт | Протокол | Рекомендація |
| X.509 Subject CN не збігається з назвою сутності. | 7.1 | Проксі Avamar | Загальна назва об'єкта, знайдена в сертифікаті X.509, не відповідає цілі сканування: Тема CN Administrator не збігається з DNS-ім'ям, вказаним на сайті. | 5480 / 443 | ПТС | Виправте поле «Загальна назва» суб'єкта (CN) у сертифікаті. |
Проблему вирішено в Avamar Proxy версії 19.10. Оновіть IDPA до версії 2.7.7, і вона включає версію Avamar 19.10.
Обхідний шлях для IDPA 2.7.6 або нижче можна знайти в Посібнику користувача Dell Avamar для VMware 19.9. Процедура знаходиться в розділі "Імпорт користувацького сертифіката в Avamar VMware Image Backup Proxy". Також є: Авамар: Як замінити сертифікат на Avamar VMware Image Backup Proxy ." (Потрібна автентифікація на порталі підтримки Dell)
Продукти, яких це стосується
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Властивості статті
Article Number: 000227729
Article Type: Solution
Востаннє змінено: 14 серп. 2024
Version: 1
Отримайте відповіді на свої запитання від інших користувачів Dell
Служба підтримки
Перевірте, чи послуги служби підтримки поширюються на ваш пристрій.