NetWorker:DSA-2018-120のポート5672を無効にして、スキャン ソフトウェアが引き続き脆弱性を示すのを回避する方法

Summary: クリアテキスト認証の脆弱性により、ポート5672が暗号化されていない認証情報を送信していることが判明しました。解決策として、SSL暗号を使用するためにポート5671が導入されましたが、一部のNetWorker機能が動作するためにこのポートを必要とするため、ポート5672は引き続き開かれています。したがって、一部のスキャン ソフトウェアでは、脆弱性がNetWorkerサーバーにまだ存在すると表示される場合があります。この記事では、このポートを完全に無効にする方法について説明します。 ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

この記事を読む前に、次のKB記事523985を読み、理解したことを確認してください。DSA-2018-120: ネットワークを介したDell EMC NetWorkerのクリアテキスト認証の脆弱性

CVE-2018-11050を修復するために修正が実装された後、さらにいくつかのアクションを実行する必要がある場合があります。   
  • 下位互換性のために非SSLポートがまだ開いているため、スキャン ソフトウェアは引き続き脆弱性を示します(これはNMC、Hyper-V FLR/NMMです)。
  • NetWorker内部サービス(nsrd/nsrjobd)は、修正されたバージョンでSSL対応ポート(5761)を使用して開始されましたが、ポートはまだ開いており、NetWorker\NMMによって他の操作に使用されます。
  • この問題は、これらのバージョンでは、非SSLポート5672を介して「暗号化されていないユーザー資格情報をリモートAMQPサービスに送信しない」ことで修正されています。
  • 非SSLポートを使用する場合は、引き続き使用できます。
  • SSLポートを使用する場合は、この修正によりメカニズムが提供されます。
  • ポート5672を無効にすると、Hyper-V、NMMなど、他のNetWorkerサービスの正常な動作に影響します(すべてのアプリケーション クライアント)。

Q: ファイアウォールでポート5672をブロックして、セキュリティ スキャンで報告されないようにできますか
ある:いいえ。ポート5672をNMCサーバーからNetWorkerサーバーに対して開く必要があります。これは「Messmage Queue Adapter」ポートです

AMQP クライアントはポート 5672 でメッセージ バスと対話し、ポートが開いている必要があります。SSL用にポート5671を開く必要があります。

NWサーバーから公開される機能は、バックアップのジョブ ステータスであり、それ以上のものではありません。したがって、これは読み取り専用の操作であり、不正なコンポーネントがリスクとして引き起こす可能性があります。

KB記事523985で指定されている修正済みNetWorkerバージョンから開始します。DSA-2018-120: ネットワークの脆弱性に対するDell EMC NetWorkerクリアテキスト認証。NWは認証に5671 (SSL)を使用し、前述の暗号に従って資格情報を暗号化します。ただし、5672をブロックすると、次のKB記事503523に悪影響を及ぼします。NetWorker 9: ファイアウォールによってポート5672がブロックされている場合、NMCの監視にはポリシーのステータスは未実行と表示され、ワークフローのステータスがポップアップ表示されます メッセージ バスがホスト<へのソケット接続を開くことができませんポート5672でNetWorker_server> :リクエスト時限\BRM\DPC\FLRなど)したがって、次のようになります。
  • RabbitMQバスは、ポート5672の暗号化されていない(TLSなし)amqpを介して引き続き使用できます
  • RabbitMQバスは、ポート5671の暗号化(TLS)amqp経由でも使用できるようになりました
  • ポート5671は、NetWorkerサーバーでインバウンドで開いている必要があります。
  • NMCサーバーはポート5671に接続します。そのため、NMCからNetWorkerにアウトバウンドする必要があります。
[Summary]:5671と5672はどちらも認証以外のいくつかの操作に使用され、脆弱性は5672(非SSL)で報告されています。
スキャンに5672が表示された場合、脆弱な認証情報の送信にポート5672はもう使用していないため、現時点では無視するしかありません。(認証情報はポート5671経由で送信されるようになりました).

ただし、この記事は次の場合にのみ適用されます。     ポート5672を無効にする前に、上記の要件が満たされていることを確認してください。

ポート5672を無効にする手順:  
  1. /nsr/rabbitmq-server-<version>/etc/rabbitmq.configファイルを編集/作成します。
使用するSSLポートであるため、SSLオプションを設定します。
tcp_listenerを参照している行は、以下の最初の行を除き、コメントする必要があります。   
{tcp_listeners, []}, %%これにより、{tcp_listeners, []} はどのポートもリッスンしなくなります
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
  1. セキュリティを強化するために、次の設定を行うことをお勧めします(rabbitmq.config.exampleが添付されていることを確認してください)。    
{honor_cipher_order、true}、
{honor_ecc_order、true}、
{暗号、 [
"暗号のリスト"
]}、
 
https://www.rabbitmq.com/ssl.html に記載されているように:     
TLS接続のネゴシエーション中に、サーバーとクライアントは、使用される暗号スイートをネゴシエートします。サーバーのTLS実装にその優先順位(暗号スイートの順序)を指示させることで、攻撃を実行する準備として脆弱な暗号スイートを意図的にネゴシエートする悪意のあるクライアントを回避することができます。これを行うには、honor_cipher_order と honor_ecc_order を true に設定します。
  1. NSRサービスは、NetWorkerサーバーで無効にする必要があります。
再起動のたびに、デフォルトで再び有効になるため、再度無効にする必要があります。これは、バグ300070によるもので、9.2.2以降のリリースで修正されています。
 
無効にする手順:     
nsradmin
> p type: nsr service
> update enabled: No

Additional Information

クリアテキスト認証の脆弱性により、ポート5672が暗号化されていない認証情報を送信していることが判明しました。解決策として、SSL暗号を使用するためにポート5671が導入されましたが、一部のNetWorker機能が動作するためにこのポートを必要とするため、ポート5672は開いたままです。したがって、一部のスキャン ソフトウェアでは、脆弱性がNetWorkerサーバーにまだ存在すると表示される場合があります。この記事では、このポートを完全に無効にする方法について説明します

rabbitmq.configurationオプションの詳細については、以下を参照してください。     
  • https://www.rabbitmq.com/configure.html。
  • https://www.rabbitmq.com/ssl.html
  • https://www.rabbitmq.com/networking.html

Affected Products

NetWorker

Products

NetWorker
Article Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version:  3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.