IDPA: Análisis de vulnerabilidades de seguridad detectadas TLS SSL Conjuntos de cifrado MAC débiles en la búsqueda
Resumen: En el artículo, se proporciona una solución alternativa para "Conjuntos de cifrado de código de autenticación de mensajes débiles TLS/SSL para los puertos 442, 443 y 445" detectados en la búsqueda. ...
Este artículo se aplica a
Este artículo no se aplica a
Este artículo no está vinculado a ningún producto específico.
No se identifican todas las versiones del producto en este artículo.
Instrucciones
Cuando se detecta la siguiente vulnerabilidad en Integration Data Protection Appliance (IDPA) en el componente de búsqueda, puertos 442, 443 y 445 (consulte la tabla).
| Título de la vulnerabilidad | Componentes | Puerto de servicio | Protocolo de servicio | Nivel de gravedad de la vulnerabilidad |
Descripción de la vulnerabilidad | A prueba de vulnerabilidades |
|---|---|---|---|---|---|---|
| Conjuntos de cifrado de código de autenticación de mensajes débiles TLS SSL | Búsqueda | 442 | TCP | 4 | La seguridad de capa de transporte versión 1.2 y anteriores incluyen compatibilidad con conjuntos de cifrado que utilizan códigos de autenticación de mensajes basados en hash (HMAC) criptográficamente débiles, como MD5 o SHA1. | Se negoció con los siguientes conjuntos de cifrado inseguros: Cifrados TLS 1.2:
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
| Conjuntos de cifrado de código de autenticación de mensajes débiles TLS SSL | Búsqueda | 443 | TCP | 4 | La seguridad de capa de transporte versión 1.2 y anteriores incluyen compatibilidad con conjuntos de cifrado que utilizan códigos de autenticación de mensajes basados en hash (HMAC) criptográficamente débiles, como MD5 o SHA1. |
Se negoció con los siguientes conjuntos de cifrado inseguros: Cifrados TLS 1.2:
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
| Conjuntos de cifrado de código de autenticación de mensajes débiles TLS SSL | Búsqueda | 445 | TCP | 4 | La seguridad de capa de transporte versión 1.2 y anteriores incluyen compatibilidad con conjuntos de cifrado que utilizan códigos de autenticación de mensajes basados en hash (HMAC) criptográficamente débiles, como MD5 o SHA1. |
Se negoció con los siguientes conjuntos de cifrado inseguros: Cifrados TLS 1.2: TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
|
Siga estos pasos para mitigar el problema:
- Abra una sesión de PuTTY en el nodo Control del índice de búsqueda e inicie sesión como usuario "raíz".
- Cambie el directorio de trabajo a "/etc/nginx" mediante el siguiente comando:
cd /etc/nginx
- Confirme que los archivos "nginx.cis.conf" y "nginx.search.conf" existan en el directorio:
Search:/etc/nginx #ls -la total 96 drwxr-xr-x 2 root root 4096 Jun 5 11:42 . drwxr-xr-x 92 root root 4096 Jul 18 11:51 .. -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf -rw-r--r-- 1 root root 1077 Apr 19 14:48 fastcgi.conf.default -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params -rw-r--r-- 1 root root 1007 Apr 19 14:48 fastcgi_params.default -rw-r--r-- 1 root root 2837 Apr 19 14:48 koi-utf -rw-r--r-- 1 root root 2223 Apr 19 14:48 koi-win -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types -rw-r--r-- 1 root root 5349 Apr 19 14:48 mime.types.default -rw-r--r-- 1 root root 1021 Jun 5 11:42 nginx.avamar-action.conf -rw-r--r-- 1 root root 3086 Jun 5 11:39 nginx.cis.conf -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf -rw-r--r-- 1 root root 2656 Apr 19 14:48 nginx.conf.default -rw-r--r-- 1 root root 548 Jun 5 11:42 nginx.conf.tmp -rw-r--r-- 1 root root 1027 Jun 5 11:42 nginx.networker-action.conf -rw-r--r-- 1 root root 2513 Jun 5 11:42 nginx.search.conf -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params -rw-r--r-- 1 root root 636 Apr 19 14:48 scgi_params.default -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params -rw-r--r-- 1 root root 664 Apr 19 14:48 uwsgi_params.default -rw-r--r-- 1 root root 3610 Apr 19 14:48 win-utf Search:/etc/nginx #
- Haga una copia de los archivos "nginx.cis.conf" y "nginx.search.conf" actuales:
cp nginx.cis.conf nginx.cis.conf.default cp nginx.search.conf nginx.search.conf.default
- Actualice la ssl_ciphers de los archivos "nginx.cis.conf" y "nginx.search.conf":
From: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES'; To: ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';
Hay dos entradas en "nginx.cis.conf", como se muestra a continuación:
Figura 1: Captura de pantalla del archivo nginx.cis.conf
Hay una entrada en "nginx.search.conf" como se muestra a continuación:
Figura 2: Captura de pantalla del archivo nginx.search.conf
NOTA: Cualquier línea que comience con "#" se considerará como un comentario y no surtirá efecto.
- Reinicie el servidor de búsqueda.
systemctl reboot
- Los "TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA y TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA" se deben eliminar de la lista de cifrado.
El resultado del análisis debe ser similar al siguiente:
PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A
Información adicional
El análisis de vulnerabilidades de seguridad también detecta "TLS SSL Weak Message Authentication Code Cipher Suites" para el puerto 30002 en Search.
| Título de la vulnerabilidad | Componentes | Puerto de servicio | Protocolo de servicio | Nivel de gravedad de la vulnerabilidad |
Descripción de la vulnerabilidad | A prueba de vulnerabilidades |
|---|---|---|---|---|---|---|
| Conjuntos de cifrado de código de autenticación de mensajes débiles TLS SSL | Búsqueda | 30002 | TCP | 4 | La seguridad de capa de transporte versión 1.2 y anteriores incluyen compatibilidad con conjuntos de cifrado que utilizan códigos de autenticación de mensajes basados en hash (HMAC) criptográficamente débiles, como MD5 o SHA1. |
Se negoció con los siguientes conjuntos de cifrado inseguros: Cifrados TLS 1.2: |
Se planea que los conjuntos de cifrado para el puerto 30002 se actualicen después de que Avamar se actualice en la próxima versión principal de Integration Data Protection Appliance.
Antes de implementar la solución alternativa, los resultados de escaneo de los puertos 442, 443, 445 y 30002 serían similares a esto:
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10 Nmap scan report for localhost (127.0.0.1) Host is up (0.000041s latency). Other addresses for localhost (not scanned): ::1 PORT STATE SERVICE VERSION 442/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 443/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 445/tcp open ssl/http nginx | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A | TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A | compressors: | NULL | cipher preference: server |_ least strength: A 30002/tcp open ssl/pago-services2? | ssl-enum-ciphers: | TLSv1.2: | ciphers: | TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A | TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A | compressors: | NULL | cipher preference: client |_ least strength: A Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds Search:~ #
Productos afectados
PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software
, PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Propiedades del artículo
Número del artículo: 000216308
Tipo de artículo: How To
Última modificación: 01 ago 2025
Versión: 6
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.