Sikkerhedssårbarheder rapporteret på NetWorker-portene 5432, 5671, 9000, 9001

Oversigt: Rapid7-scanning identificerede sikkerhedssårbarheder på forskellige porte i NetWorker.

Denne artikel gælder for Denne artikel gælder ikke for Denne artikel er ikke knyttet til et bestemt produkt. Det er ikke alle produktversioner, der er identificeret i denne artikel.
Udforsk andre ressourcer

Symptomer

Der rapporteres om sikkerhedsrisici på port 5671, 9000, 9001.

Port 5671
TLS/SSL-server ved hjælp af almindeligt anvendte primtal

TLS-server understøtter TLS version 1.1
X.509-certifikat Subject CN stemmer ikke overens med enhedsnavnet.
Ikke-betroet TLS/SSL-server X.509-certifikat
Ugyldigt TLS/SSL-certifikat


Port 9000
X.509-certifikat Subject CN stemmer ikke overens med enhedsnavnet.
Ikke-betroet TLS/SSL-server X.509-certifikat
TLS/SSL-server bruger almindeligt anvendte primtal.
HTTP OPTIONS-metoden Aktiveret
TLS / SSL-server understøtter brugen af statiske nøglecifre.


Port 9001
X.509-certifikatemne: CN stemmer ikke overens med enhedsnavnet.
Ikke-betroet TLS / SSL-server X.509-certifikat
TLS / SSL-server understøtter ikke stærke chifferalgoritmer.
TLS / SSL-server understøtter brugen af statiske nøglecifre.

Årsag

Sårbarhed rapporteret af en sikkerhedsscanner.

Løsning

Port 5432

* X.509-certifikatemne, CN, stemmer ikke overens med enhedsnavnet.
* Ikke-betroet TLS/SSL-server X.509-certifikat
* Selvsigneret TLS/SSL-certifikat

Løsning:

1. Gå til C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\ (Windows);  /nsr/nmc/nmcdb/pgdata/ (Linux)
2. Omdøbe server.crt og server.key.
3. Kopiér den CA-signerede server og private nøgle som "server.crt" og "server.key" henholdsvis til den samme mappe.
BEMÆRK: På Linux-systemer skal du sikre dig, at filerne ejes af nsrnmc: nsrnmc og have 600 tilladelser. 
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.crt
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.key

chmod 600 /nsr/nmc/nmcdb/pgdata/server.crt
chmod 600 /nsr/nmc/nmcdb/pgdata/server.key
4. Kontroller, at stien og navnet er konsistente i postgresql.conf. 
ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'
5. Genstart gst tjenester:

Linux:  
systemctl restart gst
Windows: 
net stop gstd
net start gstd

 

Port 5671

* TLS / SSL-server ved hjælp af almindeligt anvendte primtal

Løsning:
1. Generer DH-parametre ved hjælp af openssl. Opdater rabbitmq.config med DH-filen.

Linux: /opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/rabbitmq.config 
openssl dhparam -out /opt/nsr/rabbitmq-server-3.11.16/etc/dhparam.pem 2048

Windows: C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.7.16\etc\rabbitmq.config. 
openssl.exe dhparam -out "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem" 2048
2048 refererer til størrelsen af prime i bits.

2. Configure rabbitmq.config for at sikre filen ved at tilføje konfigurationselementet:
Linux:  
{dhfile, "/opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/dhparam.pem"},
Windows: 
{dhfile, "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
inden for ssl_options lige efter "keyfile" linje.

Eksempel:
Se efter "ssl_options" , og tilføj dhfile indstillinger, som vist nedenfor: 
     {ssl_options, [{cacertfile,        "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cacert.pem"}, 
                  {certfile,            "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cert.pem"}, 
                  {keyfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\key.pem"}, 
                  {dhfile,                 "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
                  {verify,               verify_none}, 
* TLS-server understøtter TLS version 1.1
 
Løsning:
TLS version 1.1 kan slettes fra rabbitmq.config. Look for nedenstående linje: 
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 
                  
* X.509-certifikatemne, CN, stemmer ikke overens med enhedsnavnet.
* Ikke-betroet TLS/SSL-server X.509-certifikat
* Ugyldigt TLS/SSL-certifikat

Løsning:
 
1. Gå til C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-<some number>\etc (Windows). På Linux er stien /opt/nsr/rabbitmq-server-<n.nn.nn>/etc/rabbitmq
2. Omdøb den eksisterende .pem Certifikater.
3. Kopier de CA-signerede certifikater med samme navn som originalen.

Hvor:
cacert.pem = er CA-certifikatpakken.
cert.pem = er det offentlige/server-certifikat.
key.pem = er den private nøgle.

4. Kontroller, at stien og navnene afspejles korrekt i rabbitmq.config.
    
     Windows:
  
{ssl_options, [{cacertfile,           "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cacert.pem"}, 
                  {certfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cert.pem"}, 
                  {keyfile,              "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\key.pem"}, 

   
    Linux:

{ssl_options, [{cacertfile, "/etc/rabbitmq/cacert.pem"},
                    {certfile, "/etc/rabbitmq/cert.pem"},
                    {keyfile, "/etc/rabbitmq/key.pem"},
 

5. Start NetWorker- og GST-tjenesten.


Port 9000

* X.509-certifikatemne, CN, stemmer ikke overens med enhedsnavnet.
* Ikke-betroet TLS/SSL-server X.509-certifikat

Løsning:

1) Omdøb "server.crt" og "server.key." I Windows er filerne i C:\Program Files\EMC NetWorker\Management\GST\apache\conf. På Linux er filerne placeret i /opt/lgtonmc/apache/conf.

2) Kopier CA-signeret servercertifikat og privat nøgle i samme mappe. Omdøb det CA-signerede servercertifikat til "server.crt" og servernøglen til "server.key."

3) Bekræft, at stien og navnet er konsistente i C:\Program Files\EMC NetWorker\Management\GST\apache\conf\httpd.conf og C:\Program Files\EMC NetWorker\Management\GST\apache\conf\https.conf. På Linux, httpd.conf er placeret under /opt/lgtonmc/apache/conf.

De linjer, der skal gennemgås, er følgende -

Windows: 

SSLCertificatefile "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
SSLCertificateKeyfile "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"

 Linux:

SSLCertificatefile /opt/lgtonmc/apache/conf/server.crt
SSLCertificateKeyfile /opt/lgtonmc/apache/conf/server.key


4) På Linux skal fluernes tilladelse være 600 og ejes af nsrnmc. 

-rw------- 1 nsrnmc nsrnmc  1679 May 17 16:26 server.key
-rw------- 1 nsrnmc nsrnmc  1216 May 17 16:26 server.crt


* TLS / SSL-server bruger almindeligt anvendte primtal

Løsning:

1) Generer DH-parametre ved hjælp af openssl.

 Windows: 

openssl.exe dhparam -out  "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem" 2048

 Linux:

openssl dhparam -out "/opt/lgtonmc/apache/conf/apachedhparam.pem" 2048

 

2) Tilføj "SSLOpenSSLConfCmd DHParameters <location of dhparam.pem>" I httpd.conf

Windows:

SSLOpenSSLConfCmd DHParameters "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem"

 

 Linux:

<VirtualHost *:9000>
Servername localhost:9000
...
...
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3:!TLSv1.0:!TLSv1.1:!ADH:!MEDIUM:!LOW:@STRENGTH
SSLOpenSSLConfCmd DHParameters /opt/lgtonmc/apache/conf/apachedhparam.pem

</VirtualHost>

* HTTP-INDSTILLINGSMETODEN er aktiveret
Denne sårbarhed gælder ikke for NMC. mod_rewrite-modulet indlæses ikke af NMC.

* TLS / SSL-server understøtter brugen af statiske nøglecifre.

Kommenter originalen SSLCipherSuite I httpd.conf. Udskift med den nedenfor.

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!3DES:!MD5:!PSK:!RC4

 

Port 9001


*X.509-certifikatemne: CN stemmer ikke overens med enhedsnavnet.
*Ikke-betroet TLS/SSL-server X.509-certifikat

Vi yder support til udskiftning af det certifikat, der bruges af port 9001.

På Windows:

To generate cakey.pem from CA signed certificate:

Get the CA signed certificates in individual key files, or in a single file in PFX format.
If the CA signed certificates are in a single PFX file, extract the private key, and the CA signed certificate with OpenSSL tool.
NOTE:Windows may not have OpenSSL installed. You can install OpenSSL separately.
Extract the private key, and the CA signed certificate from the PFX file. Private key:
# openssl pkcs12 -in <file>.pfx -out server.key -nodes -nocerts

CA certificate:
# openssl pkcs12 -in <file>.pfx -out server.crt -nokeys

Verify the integrity of the server.key and server.crt. Private key:
# openssl pkey -in server.key -pubout -outform pem | sha256sum

CA certificate:
# openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum
NOTE:Ensure that the output shows the same checksum hash from the above two outputs. If the checksum hashes are same, perform the next step. If they are different, there is an issue.
Convert the private key and the CA certificate to PEM format. Private key:
# openssl rsa -in server.key -outform pem -out server.key.pem

CA certificate:
# openssl x509 -in server.crt -outform pem -out server.crt.pem

Combine the key and the certificate into cakey.pem file for NMC.

Windows (PowerShell): PS > get-content server.key.pem,server.crt.pem | out-file cakey.pem

Shut down the NMC server.
Windows: net stop gstd

Copy the cakey.pem to the NMC servers installation location:
Windows: [Install Drive]:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem

Start the NMC server.
Windows: net start gstd


På Linux: 

Get all the required certificates(root, intermediate, and server) from pem file format. For example: server.key, RootCA.crt, InterCA.crt, and server.crt.
Convert the private key and the certificates(root, intermediate, and server) to PEM format. Private key:
# openssl rsa -in server.key -outform pem -out server.key.pem

Certificates:
# openssl x509 -in server.crt -outform pem -out server.crt.pem

# openssl x509 -in RootCA.crt -outform pem -out RootCA.crt.pem

# openssl x509 -in InterCA.crt -outform pem -out InterCA.crt.pem

After the Chain is ready, concatenate all certificates in one file with command:

> cat server.key.pem RootCA.crt.pem InterCA.crt.pem server.crt.pem > cakey.pem

NOTE:Order of the certificates in concatenation is important. server.key should always be the first certificate, and server.pem should always be the last certificate in this file. Change the owner and group of file to nsrnmc.

Stop NetWorker services.

systemctl stop networker
systemctl stop gst

Move to directory /opt/lgtonmc/etc/, rename the existing cakey.pem, and copy the cakey.pem file which has your CA certificate chain.

Start the NetWorker services.

systemctl start networker
systemctl start gst

All the services should come up gracefully.



* TLS/SSL-server understøtter ikke stærke krypteringsalgoritmer

Understøttelse af stærke cifre er indført på NetWorker 19.5 og nyere versioner. Opdater berørte servere til NetWorker 19.5.x.

* TLS / SSL-server understøtter brugen af statiske nøglecifre.

Dette er endnu ikke løst på Windows-platformen. Dette løses i en fejlrettelse.

 

Produkter

NetWorker
Artikelegenskaber
Artikelnummer: 000193150
Artikeltype: Solution
Senest ændret: 23 apr. 2026
Version:  4
Find svar på dine spørgsmål fra andre Dell-brugere
Supportservices
Kontrollér, om din enhed er dækket af supportservices.