PowerProtect:DP 系列和 IDPA:Avamar Server 連接埠 9443的「X.509 憑證主體 CN 與實體名稱不相符」漏洞
Summary: PowerProtect Data Protection (DP) 系列應用裝置和 Integrated Data Protection Appliance (IDPA):安全性漏洞掃描偵測到適用於 IDPA 2.7.7 版或更低版本的 Avamar 伺服器連接埠 9443「X.509 憑證主體 CN 與實體名稱不符」。本文提供解決此問題的程序。
Ця стаття стосується
Ця стаття не стосується
Ця стаття не стосується якогось конкретного продукту.
У цій статті зазначено не всі версії продукту.
Symptoms
在 2.7.7 上或低於 2.7.7 的所有 IDPA 版本,都可在保護軟體 (Avamar Server) 上偵測到下列漏洞:
| 漏洞標題 | CVSS2 分數 | 資產名稱 | 漏洞證明 | 連接埠 | 通訊協定 | 建議 |
| X.509 憑證主體 CN 與實體名稱不相符。 | 7.1 | Avamar | 在 X.509 憑證中找到的消費者通用名稱與掃描目標不匹配:主題 CN 管理員與網站上指定的功能變數名稱系統 (DNS) 名稱不匹配。 | 9443 | TCP | 修復證書中消費者的公用名 (CN) 欄位。 |
Cause
連接埠 9443 上的預設 Avamar Server 自我簽署 SSL 憑證已將通用名稱 (CN) 設定為系統管理員。在連接埠 9443 上的 Avamar Web 介面中,憑證會顯示如下所示的 CN 資訊:
圖 1:連接埠 9443 上的預設 Avamar Server 憑證顯示 CN = 系統管理員。
此外,也可以從命令列輸出中找到相同的資訊:
圖 1:連接埠 9443 上的預設 Avamar Server 憑證顯示 CN = 系統管理員。
此外,也可以從命令列輸出中找到相同的資訊:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Resolution
以下是在連接埠 9443:
1 上更新 Avamar Server 憑證的程序。停止 Avamar 管理主控台伺服器 (MCS) 和 EM Tomcat (EMT) 服務:
2.備份並產生新的 MCS 開發人員套件 (MCSDK) 憑證:
3.備份和更新管理員憑證:
適用於 Avamar 19.4 或更早版本:
適用於 Avamar 19.8 或更新版本:
4.更新 Avinstaller 憑證:
5.啟動 Avamar MC 伺服器和 EMT 服務:
憑證的 CN 應已更新為主機名稱。以下為輸出範例:
圖 2:證書的 CN 與電腦名稱匹配。
可以在命令列輸出中找到相同的資訊:
產生新的 Avamar MC Server 憑證後,也必須在 Data Protection Central (DPC) 中更新 Avamar Server 資訊:
1.以 administrator@dpc.local 身分登入 DPC Web 使用者介面。
2.從「System Management」中選取 Avamar Server,然後按「Edit」it (
編輯)。3.更新 Avamar 登入資料,Avamar 使用者名稱為「MCUser」,然後按一下「下一步」。
4.接受憑證變更並「儲存」。
圖 3:在 DPC 中接受新的 Avamar Server 憑證。
1 上更新 Avamar Server 憑證的程序。停止 Avamar 管理主控台伺服器 (MCS) 和 EM Tomcat (EMT) 服務:
dpnctl stop mcs dpnctl stop emt
2.備份並產生新的 MCS 開發人員套件 (MCSDK) 憑證:
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3.備份和更新管理員憑證:
適用於 Avamar 19.4 或更早版本:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
適用於 Avamar 19.8 或更新版本:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4.更新 Avinstaller 憑證:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5.啟動 Avamar MC 伺服器和 EMT 服務:
dpnctl start mcs dpnctl start emt
憑證的 CN 應已更新為主機名稱。以下為輸出範例:
圖 2:證書的 CN 與電腦名稱匹配。
可以在命令列輸出中找到相同的資訊:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
產生新的 Avamar MC Server 憑證後,也必須在 Data Protection Central (DPC) 中更新 Avamar Server 資訊:
1.以 administrator@dpc.local 身分登入 DPC Web 使用者介面。
2.從「System Management」中選取 Avamar Server,然後按「Edit」it (
編輯)。3.更新 Avamar 登入資料,Avamar 使用者名稱為「MCUser」,然後按一下「下一步」。
4.接受憑證變更並「儲存」。
圖 3:在 DPC 中接受新的 Avamar Server 憑證。
Additional Information
對於 Avamar 代理連接埠 443 和 5480:
在 2.7.6 或低於 2.7.6 的所有 IDPA 版本的 Avamar Proxy 上可能會偵測到下列漏洞:
此問題已在 Avamar 代理版本 19.10 中解決。升級至 IDPA 版本 2.7.7,其中包括 Avamar 版本 19.10。
如需 IDPA 2.7.6 或更低版本的因應措施,請參閱適用於 VMware 19.9 的 Dell Avamar 使用者指南。此程序位於「在 Avamar VMware 映像備份代理中匯入自訂憑證」一節下。還有:Avamar:如何更換 Avamar VMware 映像備份代理的憑證 。」(需要在 Dell 支援入口網站上進行驗證)
在 2.7.6 或低於 2.7.6 的所有 IDPA 版本的 Avamar Proxy 上可能會偵測到下列漏洞:
| 漏洞標題 | CVSS2 分數 | 資產名稱 | 漏洞證明 | 連接埠 | 通訊協定 | 建議 |
| X.509 憑證主體 CN 與實體名稱不相符。 | 7.1 | Avamar 代理 | 在 X.509 憑證中找到的消費者通用名稱與掃描目標不匹配:主題 CN 管理員與網站上指定的 DNS 名稱不匹配。 | 5480 / 443 | TCP | 修復證書中消費者的公用名 (CN) 欄位。 |
此問題已在 Avamar 代理版本 19.10 中解決。升級至 IDPA 版本 2.7.7,其中包括 Avamar 版本 19.10。
如需 IDPA 2.7.6 或更低版本的因應措施,請參閱適用於 VMware 19.9 的 Dell Avamar 使用者指南。此程序位於「在 Avamar VMware 映像備份代理中匯入自訂憑證」一節下。還有:Avamar:如何更換 Avamar VMware 映像備份代理的憑證 。」(需要在 Dell 支援入口網站上進行驗證)
Продукти, яких це стосується
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Властивості статті
Article Number: 000227729
Article Type: Solution
Востаннє змінено: 14 серп. 2024
Version: 1
Отримайте відповіді на свої запитання від інших користувачів Dell
Служба підтримки
Перевірте, чи послуги служби підтримки поширюються на ваш пристрій.