NetWorker: Portin 5672 poistaminen käytöstä DSA-2018-120:lle, jotta skannausohjelmisto ei vieläkään näytä haavoittuvuutta
Summary: Selväkielisen todennuksen haavoittuvuuden vuoksi portin 5672 havaittiin lähettävän salaamattomia tunnistetietoja. Korjaustoimenpiteenä portti 5671 lisättiin käyttämään SSL-salauksia, mutta portti 5672 on silti avattu, koska jotkin NetWorker-toiminnot tarvitsevat tätä porttia toimiakseen. Siksi jotkin tarkistusohjelmat saattavat näyttää, että haavoittuvuus on edelleen NetWorker-palvelimessa. Tässä artikkelissa kuvataan, miten portti poistetaan kokonaan käytöstä. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Ennen kuin luet tämän artikkelin, varmista, että olet lukenut ja ymmärtänyt seuraavan KB-artikkelin 523985: DSA-2018-120: Dell EMC NetWorkerin selväkielinen todennus verkon kautta -haavoittuvuus
Kun CVE-2018-11050-korjaus on otettu käyttöön, sinun on ehkä tehtävä joitain muita toimia:
K: Voinko estää palomuurin portin 5672, jotta tietoturvatarkistus ei ilmoita siitä?
A: Ei. Portti 5672 on avattava NMC-palvelimesta NetWorker-palvelimeen. Tämä on Messmage Queue Adapter -portti.
AMQP-asiakkaat ovat vuorovaikutuksessa portin 5672 sanomaväylän kanssa, ja sen on oltava auki. Portti 5671 on avattava SSL:ää varten.
NW-palvelimelta paljastuvat ominaisuudet ovat varmuuskopioiden JOB-tila eikä mitään muuta. Siksi se on vain luku -toiminto, jonka mikä tahansa roistokomponentti voi aiheuttaa riskin.
Alkaen korjatuista NetWorker-versioista, jotka on määritetty tietämyskannan artikkelissa 523985: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW käyttää todennukseen 5671 (SSL) -salausta ja salaa tunnistetiedot edellä mainittujen salausten mukaisesti. 5672: n estäminen vaikuttaa kuitenkin haitallisesti KB-artikkelin 503523: NetWorker 9: Kun palomuuri estää portin 5672, NMC-valvonta näyttää tilan Never Run for policies, ja napsauttamalla Workflow status -painiketta avautuu Sanomaväylä ei voi avata socket-yhteyttä isäntään <> NetWorker_server portissa 5672: pyyntö ajoitettu \BRM\DPC\FLR jne.) siten:
Jos 5672 näkyy tarkistuksessa, ainoa vaihtoehto on ohittaa se, koska porttia 5672 ei enää käytetä haavoittuvien tunnistetietojen lähettämiseen. (Tunnistetiedot lähetetään nyt portin 5671 kautta) .
Tätä artiklaa sovelletaan kuitenkin vain, jos:
Portin 5672 poistaminen käytöstä:
Kun CVE-2018-11050-korjaus on otettu käyttöön, sinun on ehkä tehtävä joitain muita toimia:
- Tarkistusohjelmisto näyttää edelleen haavoittuvuuden, koska muu kuin SSL-portti on edelleen auki taaksepäin yhteensopivuuden vuoksi (tämä on NMC, Hyper-V FLR/NMM).
- NetWorkerin sisäiset palvelut (nsrd/nsrjobd) alkoivat käyttää SSL-yhteensopivaa porttia (5761) kiinteissä versioissa, mutta portti on edelleen auki ja NetWorker\NMM käyttää sitä muihin toimintoihin.
- Tämä ongelma on korjattu näissä versioissa, kun käyttäjän tunnistetietoja ei lähetetä salaamattomaan AMQP-etäpalveluun muun kuin SSL-portin 5672 kautta.
- Jos haluat käyttää muuta kuin SSL-porttia, voit jatkaa sen käyttöä.
- Niille, jotka haluavat käyttää SSL-porttia, tämä korjaus tarjoaa mekanismin.
- Jos poistat portin 5672 käytöstä, se vaikuttaa muiden NetWorker-palveluiden, kuten Hyper-V:n ja NMM:n (kaikki sovellusasiakasohjelmat) oikeaan toimintaan.
K: Voinko estää palomuurin portin 5672, jotta tietoturvatarkistus ei ilmoita siitä?
A: Ei. Portti 5672 on avattava NMC-palvelimesta NetWorker-palvelimeen. Tämä on Messmage Queue Adapter -portti.
AMQP-asiakkaat ovat vuorovaikutuksessa portin 5672 sanomaväylän kanssa, ja sen on oltava auki. Portti 5671 on avattava SSL:ää varten.
NW-palvelimelta paljastuvat ominaisuudet ovat varmuuskopioiden JOB-tila eikä mitään muuta. Siksi se on vain luku -toiminto, jonka mikä tahansa roistokomponentti voi aiheuttaa riskin.
Alkaen korjatuista NetWorker-versioista, jotka on määritetty tietämyskannan artikkelissa 523985: DSA-2018-120: Dell EMC NetWorker Clear-Text Authentication Over Network Vulnerability, NW käyttää todennukseen 5671 (SSL) -salausta ja salaa tunnistetiedot edellä mainittujen salausten mukaisesti. 5672: n estäminen vaikuttaa kuitenkin haitallisesti KB-artikkelin 503523: NetWorker 9: Kun palomuuri estää portin 5672, NMC-valvonta näyttää tilan Never Run for policies, ja napsauttamalla Workflow status -painiketta avautuu Sanomaväylä ei voi avata socket-yhteyttä isäntään <> NetWorker_server portissa 5672: pyyntö ajoitettu \BRM\DPC\FLR jne.) siten:
- RabbitMQ-väylä on edelleen käytettävissä salaamattoman (ei TLS:ää) amqp:n kautta portissa 5672
- RabbitMQ-väylä on nyt saatavana myös salatun (TLS) amqp: n kautta portissa 5671
- Portin 5671 on oltava auki NetWorker-palvelimessa.
- NMC-palvelin muodostaa yhteyden porttiin 5671 Siksi se on siirrettävä NMC:stä Networkeriin.
Jos 5672 näkyy tarkistuksessa, ainoa vaihtoehto on ohittaa se, koska porttia 5672 ei enää käytetä haavoittuvien tunnistetietojen lähettämiseen. (Tunnistetiedot lähetetään nyt portin 5671 kautta) .
Tätä artiklaa sovelletaan kuitenkin vain, jos:
- Käytössäsi ei ole mitään niistä NetWorker-versioista, joita haavoittuvuus koskee artikkelissa 523985: DSA-2018-120: Dell EMC NetWorkerin selväkielinen todennus verkon kautta -haavoittuvuus
- Et tarvitse porttia 5672, koska et tarvitse Hyper-V FLR/NMM -toimintoja toimiakseen.
Portin 5672 poistaminen käytöstä:
- Muokkaa / luo tiedosto / nsr / rabbitmq-server-version<> / etc / rabbitmq.config
Pidä SSL-asetukset käytössä, koska tämä on käyttämämme SSL-portti.
Rivit, jotka viittaavat tcp_listener, on kommentoitava, lukuun ottamatta alla olevaa ensimmäistä:
{tcp_listeners, []}, %%this tekee {tcp_listeners, []} ei kuuntele mitään porttia
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
%% {tcp_listeners, [{"127.0.0.1", 5672},
%% {"::1", 5672}]},
- Turvallisuuden lisäämiseksi on suositeltavaa, että seuraavat asetukset ovat käytössä (tarkista rabbitmq.config.example):
{honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers, [
"luettelo salauksista"
]},
{honor_ecc_order, true},
{ciphers, [
"luettelo salauksista"
]},
Kuten kohdassa https://www.rabbitmq.com/ssl.html todetaan:
TLS-yhteysneuvottelun aikana palvelin ja asiakas neuvottelevat, mitä salauspakettia käytetään. On mahdollista pakottaa palvelimen TLS-toteutus sanelemaan mieltymyksensä (salauspakettijärjestys), jotta vältetään haitalliset asiakkaat, jotka neuvottelevat tarkoituksellisesti heikoista salauspaketeista valmistautuessaan hyökkäykseen heitä vastaan. Määritä tätä varten honor_cipher_order ja honor_ecc_order arvoksi tosi.
- NSR-palvelu on poistettava käytöstä NetWorker-palvelimessa.
Jokaisen uudelleenkäynnistyksen jälkeen se on oletusarvoisesti taas käytössä, joten se on poistettava käytöstä uudelleen. Tämä johtuu virheestä 300070, joka on korjattu versiossa 9.2.2 ja uudemmissa.
Vaiheet sen poistamiseksi käytöstä:
NSRdMin
> P Type:NSR -palvelupäivitys
> käytössä: Ei
> P Type:NSR -palvelupäivitys
> käytössä: Ei
Additional Information
Selväkielisen todennuksen haavoittuvuuden vuoksi portin 5672 havaittiin lähettävän salaamattomia tunnistetietoja. Korjaustoimenpiteenä portti 5671 otettiin käyttöön SSL-salausten käyttöä varten, mutta portti 5672 on edelleen avattuna, koska jotkin NetWorker-toiminnot tarvitsevat tätä porttia toimiakseen. Siksi jotkin tarkistusohjelmat saattavat näyttää, että haavoittuvuus on edelleen NetWorker-palvelimessa. Tässä artikkelissa kuvataan, miten portti poistetaan kokonaan käytöstä.
Lisätietoja rabbitmq.configuration-vaihtoehdoista on saatavilla osoitteessa:
Lisätietoja rabbitmq.configuration-vaihtoehdoista on saatavilla osoitteessa:
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.