Vulnerabilità di sicurezza segnalate sulle porte 5432, 5671, 9000, 9001 di NetWorker

Summary: La scansione Rapid7 ha identificato vulnerabilità di sicurezza su varie porte di NetWorker.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Le vulnerabilità sono segnalate sulle porte 5671, 9000, 9001.

Porta 5671
Server TLS/SSL che utilizza numeri

primi comunemente usati Il server TLS supporta TLS versione 1.1
X.509 Il CN dell'oggetto del certificato non corrisponde al nome dell'entità.
Server TLS/SSL non attendibile Certificato
X.509 Certificato


TLS/SSL non validoPorta 9000
X.509 Il CN dell'oggetto del certificato non corrisponde al nome dell'entità.
Server TLS/SSL non attendibile Certificato
X.509 Il server TLS/SSL utilizza numeri primi comunemente usati.
HTTP OPTIONS Metodo abilitato
Il server TLS/SSL supporta l'uso di crittografie a chiave statica.


Porta 9001
Il CN dell'oggetto del certificato X.509 non corrisponde al nome dell'entità.
Server TLS/SSL non attendibile Certificato
X.509 Il server TLS/SSL non supporta algoritmi di crittografia avanzati.
Il server TLS/SSL supporta l'uso di crittografie a chiave statica.

Cause

Vulnerabilità segnalata da uno scanner di sicurezza.

Resolution

 Porta 5432

* Il CN dell'oggetto del certificato X.509 non corrisponde al nome dell'entità.
* Server TLS/SSL non attendibile Certificato
X.509* Certificato

TLS/SSL autofirmato Soluzione:

1. Accedere al C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\ (finestre);  /nsr/nmc/nmcdb/pgdata/ (Linux)
2. Ridenominazione server.crt e server.key.
3. Copiare il server firmato dalla CA e la chiave privata come "server.crt" e "server.key" rispettivamente nella stessa cartella.
NOTA: Sui sistemi Linux, assicurarsi che i file siano di proprietà di nsrnmc: nsrnmc e disporre di 600 autorizzazioni. 
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.crt
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.key

chmod 600 /nsr/nmc/nmcdb/pgdata/server.crt
chmod 600 /nsr/nmc/nmcdb/pgdata/server.key

4. Verificare che il percorso e il nome siano coerenti in postgresql.conf.

ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'
5. Riavvia gst servizi:

Linux:  
systemctl restart gst
Windows: 
net stop gstd
net start gstd
 

Porta 5671

* Server TLS/SSL che utilizza numeri primi comunemente usati

Soluzione:
1. Generare parametri DH utilizzando openssl. Aggiornare rabbitmq.config con il file DH.

Linux: /opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/rabbitmq.config 
openssl dhparam -out /etc/rabbitmq/dhparam.pem 2048

Windows: C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.7.16\etc\rabbitmq.config. 
openssl.exe dhparam -out "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem" 2048
Il 2048 si riferisce alla dimensione del numero primo in bit.

2. Configurazione rabbitmq.config per assicurare il file aggiungendo la voce di configurazione:
Linux:  
{dhfile, "/etc/rabbitmq/dhparam.pem"},
Windows: 
{dhfile, "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
all'interno del ssl_options subito dopo il "keyfile" linea.

Esempio:
cercare "ssl_options" e aggiungi il dhfile come mostrato di seguito: 
     {ssl_options, [{cacertfile,        "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cacert.pem"}, 
                  {certfile,            "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cert.pem"}, 
                  {keyfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\key.pem"}, 
                  {dhfile,                 "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
                  {verify,               verify_none}, 
* Il server TLS supporta TLS versione 1.1
 
Soluzione:
TLS versione 1.1 può essere eliminato da rabbitmq.config. Look per la riga qui sotto: 
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 
* Il CN dell'oggetto del certificato X.509 non corrisponde al nome dell'entità.
* Certificato
X.509 del server TLS/SSL non attendibile* Certificato TLS/SSL non valido

Soluzione:
 
1. Accedere al C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-<some number>\etc (Windows). Su Linux, il percorso è /etc/rabbitmq
2. Rinominare l'esistente .pem Certificati.
3. Copiare i certificati firmati dalla CA con lo stesso nome dell'originale.

Dove:
cacert.pem = è il bundle di certificati CA.
cert.pem = è il certificato pubblico/server.
key.pem = è la chiave privata.

4. Verificare che il percorso e i nomi siano riportati correttamente in rabbitmq.config.
    
Windows: 
{ssl_options, [{cacertfile,           "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cacert.pem"}, 
                  {certfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cert.pem"}, 
                  {keyfile,              "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\key.pem"}, 

 Linux:

{ssl_options, [{cacertfile, "/etc/rabbitmq/cacert.pem"},
                    {certfile, "/etc/rabbitmq/cert.pem"},
                    {keyfile, "/etc/rabbitmq/key.pem"},

5. Avviare il servizio NetWorker e GST.

NOTA: In alcuni scenari, i file di certificato vengono ripristinati durante l'avvio del servizio, vedere: NetWorker: I certificati RabbitMQ tornano alla modalità autofirmata dopo l'avvio del servizio NetWorker


Porta 9000 e 9001

Consultare l'articolo seguente sulla sostituzione dei certificati autofirmati con certificati firmati dalla CA: NetWorker: come importare o sostituire i certificati firmati dall'autorità di certificazione per NMC

* Il server TLS/SSL utilizza numeri primi comunemente usati
 

  1. Soluzione: Generare parametri DH utilizzando openssl.

Windows:

openssl.exe dhparam -out  "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem" 2048

Linux:

openssl dhparam -out "/opt/lgtonmc/apache/conf/apachedhparam.pem" 2048
  1. Aggiungi "SSLOpenSSLConfCmd DHParameters <location of dhparam.pem>" Pollici httpd.conf

    Windows:
SSLOpenSSLConfCmd DHParameters "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem"

Linux:

<VirtualHost *:9000>
Servername localhost:9000
...
...
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3:!TLSv1.0:!TLSv1.1:!ADH:!MEDIUM:!LOW:@STRENGTH
SSLOpenSSLConfCmd DHParameters /opt/lgtonmc/apache/conf/apachedhparam.pem

</VirtualHost>

* Metodo HTTP OPTIONS abilitato

Questa vulnerabilità non è applicabile a NMC. mod_rewrite modulo non viene caricato da NMC.

* Il server TLS/SSL supporta l'uso di cifrari a chiave statica.

Commentare l'originale SSLCipherSuite Pollici httpd.conf. Sostituire con quello riportato di seguito.

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!3DES:!MD5:!PSK:!RC4


* Il server TLS/SSL non supporta algoritmi di codifica avanzati

Questa operazione non è prevista su NetWorker 19.5 e versioni successive. NetWorker 19.5 è alla fine del supporto (EOSL).

* Il server TLS/SSL supporta l'uso di cifrari a chiave statica.

Questo problema non è stato ancora risolto sulla piattaforma Windows. Questo problema è stato risolto in una correzione di bug.

Additional Information

Affected Products

NetWorker

Products

NetWorker Family, NetWorker Management Console
Article Properties
Article Number: 000193150
Article Type: Solution
Last Modified: 04 مايو 2026
Version:  5
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.