Sicherheitslücken auf NetWorker-Ports 5432, 5671, 9000, 9001 gemeldet

Sicherheitslücken werden auf den Ports 5671, 9000, 9001 gemeldet.

Port 5671
TLS/SSL-Server mit häufig verwendeten Primzahlen

TLS-Server unterstützt TLS-Version 1.1
X.509 Zertifikatantrags-CN stimmt nicht mit dem Entitätsnamen überein.
Nicht vertrauenswürdiges TLS/SSL-Server-X.509-Zertifikat
Ungültiges TLS/SSL-Zertifikat


Port 9000
X.509-Zertifikat Betreff CN stimmt nicht mit dem Entitätsnamen überein.
Nicht vertrauenswürdiger TLS/SSL-Server X.509-Zertifikat
TLS/SSL-Server verwendet häufig verwendete Primzahlen.
Methode "HTTP OPTIONS" aktiviert
TLS/SSL-Server unterstützt die Verwendung von statischen Schlüsselchiffren.


Port 9001
Betreff-CN des X.509-Zertifikats stimmt nicht mit dem Entitätsnamen überein.
Nicht vertrauenswürdiger TLS/SSL-Server X.509-Zertifikat
TLS/SSL-Server unterstützt keine starken Verschlüsselungsalgorithmen.
TLS/SSL-Server unterstützt die Verwendung von statischen Schlüsselchiffren.

Port 5432

chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.crt
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.key

chmod 600 /nsr/nmc/nmcdb/pgdata/server.crt
chmod 600 /nsr/nmc/nmcdb/pgdata/server.key

ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'

systemctl restart gst

net stop gstd
net start gstd

Port 5671

openssl dhparam -out /opt/nsr/rabbitmq-server-3.11.16/etc/dhparam.pem 2048

openssl.exe dhparam -out "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem" 2048

{dhfile, "/opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/dhparam.pem"},

{dhfile, "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},

     {ssl_options, [{cacertfile,        "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cacert.pem"}, 
                  {certfile,            "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cert.pem"}, 
                  {keyfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\key.pem"}, 
                  {dhfile,                 "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
                  {verify,               verify_none}, 

% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 

{ssl_options, [{cacertfile,           "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cacert.pem"}, 
                  {certfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cert.pem"}, 
                  {keyfile,              "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\key.pem"}, 

{ssl_options, [{cacertfile, "/etc/rabbitmq/cacert.pem"},
                    {certfile, "/etc/rabbitmq/cert.pem"},
                    {keyfile, "/etc/rabbitmq/key.pem"},

Port 9000

* Der Betreff CN des X.509-Zertifikats stimmt nicht mit dem Namen der Entität überein.
* Nicht vertrauenswürdiger TLS/SSL-Server X.509-Zertifikat

Lösung:

1) Umbenennen "server.crt" und "server.key." Unter Windows befinden sich die Dateien in C:\Program Files\EMC NetWorker\Management\GST\apache\conf. Unter Linux befinden sich die Dateien im Verzeichnis /opt/lgtonmc/apache/conf.

2) Kopieren Sie das von der Zertifizierungsstelle signierte Serverzertifikat und den privaten Schlüssel in denselben Ordner. Benennen Sie das CA-signierte Serverzertifikat um in "server.crt" und den Serverschlüssel, um "server.key."

3) Vergewissern Sie sich, dass Pfad und Name konsistent sind in C:\Program Files\EMC NetWorker\Management\GST\apache\conf\httpd.conf und C:\Program Files\EMC NetWorker\Management\GST\apache\conf\https.conf. Unter Linux, httpd.conf befindet sich unter /opt/lgtonmc/apache/conf.

Die zu überprüfenden Zeilen lauten wie folgt

: Windows:

SSLCertificatefile "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
SSLCertificateKeyfile "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"

 Linux:

SSLCertificatefile /opt/lgtonmc/apache/conf/server.crt
SSLCertificateKeyfile /opt/lgtonmc/apache/conf/server.key

4) Unter Linux sollte die Berechtigung der Fliegen 600 sein und im Besitz von nsrnmc.

-rw------- 1 nsrnmc nsrnmc  1679 May 17 16:26 server.key
-rw------- 1 nsrnmc nsrnmc  1216 May 17 16:26 server.crt

* TLS/SSL-Server verwendet häufig verwendete Primzahlen

Lösung:

1) Generieren Sie DH-Parameter mit openssl.

 Windows:

openssl.exe dhparam -out  "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem" 2048

 Linux:

openssl dhparam -out "/opt/lgtonmc/apache/conf/apachedhparam.pem" 2048

2) Hinzufügen "SSLOpenSSLConfCmd DHParameters <location of dhparam.pem>" In httpd.conf

Windows:

SSLOpenSSLConfCmd DHParameters "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem"

 Linux:

<VirtualHost *:9000>
Servername localhost:9000
...
...
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3:!TLSv1.0:!TLSv1.1:!ADH:!MEDIUM:!LOW:@STRENGTH
SSLOpenSSLConfCmd DHParameters /opt/lgtonmc/apache/conf/apachedhparam.pem

</VirtualHost>

* HTTP-OPTIONEN Methode aktiviert
Diese Sicherheitslücke gilt nicht für die NMC. mod_rewrite Modul wird nicht von der NMC geladen.

* TLS/SSL-Server unterstützt die Verwendung von statischen Schlüsselchiffren.

Kommentieren Sie das Original aus SSLCipherSuite In httpd.conf. Ersetzen Sie sie durch die nachstehende.

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!3DES:!MD5:!PSK:!RC4

Port 9001


*X.509-Betreff-CN des Zertifikats stimmt nicht mit dem Namen der Entität überein.
*Nicht vertrauenswürdiges TLS/SSL-Server-X.509-Zertifikat

Wir bieten Unterstützung beim Ersetzen des von Port 9001 verwendeten Zertifikats.

Unter Windows:

To generate cakey.pem from CA signed certificate:

Get the CA signed certificates in individual key files, or in a single file in PFX format.
If the CA signed certificates are in a single PFX file, extract the private key, and the CA signed certificate with OpenSSL tool.
NOTE:Windows may not have OpenSSL installed. You can install OpenSSL separately.
Extract the private key, and the CA signed certificate from the PFX file. Private key:
# openssl pkcs12 -in <file>.pfx -out server.key -nodes -nocerts

CA certificate:
# openssl pkcs12 -in <file>.pfx -out server.crt -nokeys

Verify the integrity of the server.key and server.crt. Private key:
# openssl pkey -in server.key -pubout -outform pem | sha256sum

CA certificate:
# openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum
NOTE:Ensure that the output shows the same checksum hash from the above two outputs. If the checksum hashes are same, perform the next step. If they are different, there is an issue.
Convert the private key and the CA certificate to PEM format. Private key:
# openssl rsa -in server.key -outform pem -out server.key.pem

CA certificate:
# openssl x509 -in server.crt -outform pem -out server.crt.pem

Combine the key and the certificate into cakey.pem file for NMC.

Windows (PowerShell): PS > get-content server.key.pem,server.crt.pem | out-file cakey.pem

Shut down the NMC server.
Windows: net stop gstd

Copy the cakey.pem to the NMC servers installation location:
Windows: [Install Drive]:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem

Start the NMC server.
Windows: net start gstd

Unter Linux:

Get all the required certificates(root, intermediate, and server) from pem file format. For example: server.key, RootCA.crt, InterCA.crt, and server.crt.
Convert the private key and the certificates(root, intermediate, and server) to PEM format. Private key:
# openssl rsa -in server.key -outform pem -out server.key.pem

Certificates:
# openssl x509 -in server.crt -outform pem -out server.crt.pem

# openssl x509 -in RootCA.crt -outform pem -out RootCA.crt.pem

# openssl x509 -in InterCA.crt -outform pem -out InterCA.crt.pem

After the Chain is ready, concatenate all certificates in one file with command:

> cat server.key.pem RootCA.crt.pem InterCA.crt.pem server.crt.pem > cakey.pem

NOTE:Order of the certificates in concatenation is important. server.key should always be the first certificate, and server.pem should always be the last certificate in this file. Change the owner and group of file to nsrnmc.

Stop NetWorker services.

systemctl stop networker
systemctl stop gst

Move to directory /opt/lgtonmc/etc/, rename the existing cakey.pem, and copy the cakey.pem file which has your CA certificate chain.

Start the NetWorker services.

systemctl start networker
systemctl start gst

All the services should come up gracefully.

* TLS/SSL-Server unterstützt keine starken Verschlüsselungsalgorithmen.

NetWorker 19.5 und neueren Versionen unterstützen starke Verschlüsselungen. Aktualisieren Sie betroffene Server auf NetWorker 19.5.x.

* TLS/SSL-Server unterstützt die Verwendung von statischen Schlüsselchiffren.

Dies wird auf der Windows-Plattform noch nicht behoben. Dies wird in einer Fehlerkorrektur behoben.