Sikkerhedssårbarheder rapporteret på NetWorker-portene 5432, 5671, 9000, 9001

Summary: Rapid7-scanning identificerede sikkerhedssårbarheder på forskellige porte i NetWorker.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Der rapporteres om sikkerhedsrisici på port 5671, 9000, 9001.

Port 5671
TLS/SSL-server ved hjælp af almindeligt anvendte primtal

TLS-server understøtter TLS version 1.1
X.509-certifikat Subject CN stemmer ikke overens med enhedsnavnet.
Ikke-betroet TLS/SSL-server X.509-certifikat
Ugyldigt TLS/SSL-certifikat


Port 9000
X.509-certifikat Subject CN stemmer ikke overens med enhedsnavnet.
Ikke-betroet TLS/SSL-server X.509-certifikat
TLS/SSL-server bruger almindeligt anvendte primtal.
HTTP OPTIONS-metoden Aktiveret
TLS / SSL-server understøtter brugen af statiske nøglecifre.


Port 9001
X.509-certifikatemne: CN stemmer ikke overens med enhedsnavnet.
Ikke-betroet TLS / SSL-server X.509-certifikat
TLS / SSL-server understøtter ikke stærke chifferalgoritmer.
TLS / SSL-server understøtter brugen af statiske nøglecifre.

Cause

Sårbarhed rapporteret af en sikkerhedsscanner.

Resolution

 Port 5432

* X.509-certifikatemne, CN, stemmer ikke overens med enhedsnavnet.
* Ikke-betroet TLS/SSL-server X.509-certifikat
* Selvsigneret TLS/SSL-certifikat

Løsning:

1. Gå til C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\ (Windows);  /nsr/nmc/nmcdb/pgdata/ (Linux)
2. Omdøbe server.crt og server.key.
3. Kopiér den CA-signerede server og private nøgle som "server.crt" og "server.key" henholdsvis til den samme mappe.
BEMÆRK: På Linux-systemer skal du sikre dig, at filerne ejes af nsrnmc: nsrnmc og have 600 tilladelser. 
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.crt
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.key

chmod 600 /nsr/nmc/nmcdb/pgdata/server.crt
chmod 600 /nsr/nmc/nmcdb/pgdata/server.key

4. Kontroller, at stien og navnet er konsistente i postgresql.conf.

ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'
5. Genstart gst tjenester:

Linux:  
systemctl restart gst
Windows: 
net stop gstd
net start gstd
 

Port 5671

* TLS / SSL-server ved hjælp af almindeligt anvendte primtal

Løsning:
1. Generer DH-parametre ved hjælp af openssl. Opdater rabbitmq.config med DH-filen.

Linux: /opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/rabbitmq.config 
openssl dhparam -out /etc/rabbitmq/dhparam.pem 2048

Windows: C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.7.16\etc\rabbitmq.config. 
openssl.exe dhparam -out "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem" 2048
2048 refererer til størrelsen af prime i bits.

2. Configure rabbitmq.config for at sikre filen ved at tilføje konfigurationselementet:
Linux:  
{dhfile, "/etc/rabbitmq/dhparam.pem"},
Windows: 
{dhfile, "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
inden for ssl_options lige efter "keyfile" linje.

Eksempel:
Se efter "ssl_options" , og tilføj dhfile indstillinger, som vist nedenfor: 
     {ssl_options, [{cacertfile,        "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cacert.pem"}, 
                  {certfile,            "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cert.pem"}, 
                  {keyfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\key.pem"}, 
                  {dhfile,                 "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
                  {verify,               verify_none}, 
* TLS-server understøtter TLS version 1.1
 
Løsning:
TLS version 1.1 kan slettes fra rabbitmq.config. Look for nedenstående linje: 
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 
* X.509-certifikatemne, CN, stemmer ikke overens med enhedsnavnet.
* Ikke-betroet TLS/SSL-server X.509-certifikat
* Ugyldigt TLS/SSL-certifikat

Løsning:
 
1. Gå til C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-<some number>\etc (Windows). På Linux er stien /etc/rabbitmq
2. Omdøb den eksisterende .pem Certifikater.
3. Kopier de CA-signerede certifikater med samme navn som originalen.

Hvor:
cacert.pem = er CA-certifikatpakken.
cert.pem = er det offentlige/server-certifikat.
key.pem = er den private nøgle.

4. Kontroller, at stien og navnene afspejles korrekt i rabbitmq.config.
    
Windows: 
{ssl_options, [{cacertfile,           "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cacert.pem"}, 
                  {certfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cert.pem"}, 
                  {keyfile,              "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\key.pem"}, 

 Linux:

{ssl_options, [{cacertfile, "/etc/rabbitmq/cacert.pem"},
                    {certfile, "/etc/rabbitmq/cert.pem"},
                    {keyfile, "/etc/rabbitmq/key.pem"},

5. Start NetWorker- og GST-tjenesten.

BEMÆRK: I nogle scenarier gendannes certifikatfilerne under opstart af tjenesten, se: NetWorker: RabbitMQ-certifikater vender tilbage til selvsigneret, når NetWorker-tjenesten starter


Port 9000 og 9001

Se følgende artikel om udskiftning af selvsignerede certifikater med CA-signerede certifikater: NetWorker: Sådan importeres eller erstattes certifikatmyndighedssignerede certifikater til NMC

* TLS / SSL-server bruger almindeligt anvendte primtal
 

  1. Løsning: Generer DH-parametre ved hjælp af openssl.

Windows:

openssl.exe dhparam -out  "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem" 2048

Linux:

openssl dhparam -out "/opt/lgtonmc/apache/conf/apachedhparam.pem" 2048
  1. Tilføj "SSLOpenSSLConfCmd DHParameters <location of dhparam.pem>" I httpd.conf

    Windows:
SSLOpenSSLConfCmd DHParameters "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem"

Linux:

<VirtualHost *:9000>
Servername localhost:9000
...
...
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3:!TLSv1.0:!TLSv1.1:!ADH:!MEDIUM:!LOW:@STRENGTH
SSLOpenSSLConfCmd DHParameters /opt/lgtonmc/apache/conf/apachedhparam.pem

</VirtualHost>

* HTTP OPTIONS-metode aktiveret

Denne sårbarhed gælder ikke for NMC. mod_rewrite modul indlæses ikke af NMC.

* TLS/SSL-server understøtter brug af statiske nøglecifre.

Kommenter originalen SSLCipherSuite I httpd.conf. Udskift med den nedenfor.

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!3DES:!MD5:!PSK:!RC4


* TLS / SSL-server understøtter ikke nogen stærke chifferalgoritmer

Dette forventes ikke på NetWorker-version 19.5 og nyere. NetWorker 19.5 er End of Support Life (EOSL).

* TLS/SSL-server understøtter brug af statiske nøglecifre.

Dette er endnu ikke løst på Windows-platformen. Dette løses i en fejlrettelse.

Additional Information

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Management Console
Article Properties
Article Number: 000193150
Article Type: Solution
Last Modified: 04 مايو 2026
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.