NetWorker : Désactivation du port 5672 pour DSA-2018-120 afin d’éviter que le logiciel d’analyse affiche toujours la faille de sécurité
Summary: En raison d’une faille de sécurité d’authentification en texte clair, le port 5672 envoie des informations d’identification non chiffrées. En guise de remède, le port 5671 a été introduit pour utiliser les chiffrements SSL, mais le port 5672 est toujours ouvert, car certaines fonctions NetWorker ont besoin de ce port pour fonctionner ; Par conséquent, certains logiciels d’analyse peuvent montrer que la vulnérabilité existe toujours sur le serveur NetWorker. Cet article explique comment désactiver complètement ce port. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Avant de lire cet article, assurez-vous d’avoir lu et compris l’article de la base de connaissances suivant 523985 : DSA-2018-120 : Authentification en texte clair Dell EMC NetWorker en cas de faille de sécurité
réseauAprès l’implémentation du correctif pour corriger CVE-2018-11050, d’autres actions devront peut-être être effectuées :
Q : Puis-je bloquer le port 5672 dans notre pare-feu afin d’éviter que l’analyse de sécurité ne le signale ?
Un: Non, le port 5672 doit être ouvert à partir du serveur NMC vers le NetWorker Server. Il s’agit du port « Adaptateur de file d’attente de messagerie ».
Les clients AMQP interagissent avec le bus de messages sur le port 5672 et celui-ci doit être ouvert. Le port 5671 doit être ouvert pour SSL.
Les fonctionnalités exposées à partir du serveur NW sont l’état JOB des sauvegardes et rien de plus. Par conséquent, il s’agit d’une opération en lecture seule que n’importe quel composant malveillant peut présenter un risque.
À partir des versions fixes de NetWorker spécifiées dans l’article 523985 de la base de connaissances : DSA-2018-120 : L’authentification en texte clair Dell EMC NetWorker en cas de faille de sécurité réseau, NW utilise le code 5671 (SSL) pour l’authentification et chiffre les informations d’identification conformément aux chiffrements mentionnés. Toutefois, le blocage de l’article 5672 aura un impact négatif sur l’article 503523 de la base de connaissances : NetWorker 9 : Lorsqu’un pare-feu bloque le port 5672, la surveillance NMC affiche l’état Never Run pour les règles, et cliquez sur Workflow status. Le bus de messages ne parvient pas à ouvrir la connexion du socket à l’hôte <> NetWorker_server sur le port 5672 : request timed \BRM\DPC\FLR etc) d’où :
Si 5672 s’affiche dans l’analyse, la seule option pour l’instant est de l’ignorer, car nous n’utilisons plus le port 5672 pour envoyer des informations d’identification vulnérables. (Les informations d’identification sont maintenant envoyées via le port 5671) .
Cela étant dit, cet article ne s’applique que si :
Étapes pour désactiver le port 5672 :
réseauAprès l’implémentation du correctif pour corriger CVE-2018-11050, d’autres actions devront peut-être être effectuées :
- Le logiciel d’analyse continue d’afficher la faille de sécurité, car le port non-SSL est toujours ouvert en raison de la compatibilité descendante (il s’agit de NMC, Hyper-V FLR/NMM).
- Les services internes de NetWorker (nsrd/nsrjobd) ont commencé à utiliser le port SSL (5761) sur les versions corrigées, mais le port est toujours ouvert et est utilisé par NetWorker\NMM pour d’autres opérations.
- Ce problème est résolu dans ces versions en n’envoyant pas « Informations d’identification de l’utilisateur non chiffrées au service AMQP distant » sur le port non SSL 5672.
- Si vous souhaitez utiliser un port non SSL, vous pouvez continuer à l’utiliser.
- Pour ceux qui veulent utiliser le port SSL, ce correctif fournit le mécanisme.
- Si vous désactivez le port 5672, le bon fonctionnement d’autres services NetWorker, tels que Hyper-V, NMM, etc. (tous les clients d’applications) est affecté.
Q : Puis-je bloquer le port 5672 dans notre pare-feu afin d’éviter que l’analyse de sécurité ne le signale ?
Un: Non, le port 5672 doit être ouvert à partir du serveur NMC vers le NetWorker Server. Il s’agit du port « Adaptateur de file d’attente de messagerie ».
Les clients AMQP interagissent avec le bus de messages sur le port 5672 et celui-ci doit être ouvert. Le port 5671 doit être ouvert pour SSL.
Les fonctionnalités exposées à partir du serveur NW sont l’état JOB des sauvegardes et rien de plus. Par conséquent, il s’agit d’une opération en lecture seule que n’importe quel composant malveillant peut présenter un risque.
À partir des versions fixes de NetWorker spécifiées dans l’article 523985 de la base de connaissances : DSA-2018-120 : L’authentification en texte clair Dell EMC NetWorker en cas de faille de sécurité réseau, NW utilise le code 5671 (SSL) pour l’authentification et chiffre les informations d’identification conformément aux chiffrements mentionnés. Toutefois, le blocage de l’article 5672 aura un impact négatif sur l’article 503523 de la base de connaissances : NetWorker 9 : Lorsqu’un pare-feu bloque le port 5672, la surveillance NMC affiche l’état Never Run pour les règles, et cliquez sur Workflow status. Le bus de messages ne parvient pas à ouvrir la connexion du socket à l’hôte <> NetWorker_server sur le port 5672 : request timed \BRM\DPC\FLR etc) d’où :
- Le bus RabbitMQ continue d’être disponible sur amqp non chiffré (sans TLS) sur le port 5672
- Le bus RabbitMQ est désormais également disponible sur amqp chiffré (TLS) sur le port 5671
- Le port 5671 doit être ouvert en entrée sur le NetWorker Server.
- NMC Server se connecte au port 5671 Il doit donc être sortant de NMC vers NetWorker.
Si 5672 s’affiche dans l’analyse, la seule option pour l’instant est de l’ignorer, car nous n’utilisons plus le port 5672 pour envoyer des informations d’identification vulnérables. (Les informations d’identification sont maintenant envoyées via le port 5671) .
Cela étant dit, cet article ne s’applique que si :
- Vous n’exécutez pas l’une des versions affectées de NetWorker décrites dans l’article 523985 de la base de connaissances : DSA-2018-120 : Authentification en texte clair Dell EMC NetWorker en cas de faille de sécurité réseau
- Vous n’avez pas besoin du port 5672, car vous n’avez pas besoin d’opérations Hyper-V FLR/NMM pour fonctionner.
Étapes pour désactiver le port 5672 :
- Edit/create file /nsr/rabbitmq-server-version<>/etc/rabbitmq.config
Ayez mis en place les options SSL, car il s’agit du port SSL que nous utilisons.
Les lignes référençant tcp_listener doivent être commentées, à l’exception de la première ci-dessous :
{tcp_listeners, []}, %%Cela fera que {tcp_listeners, []} n’écoutera aucun port
%% {tcp_listeners, [{"127.0.0.1 », 5672},
%% { » ::1 », 5672}]},
%% {tcp_listeners, [{"127.0.0.1 », 5672},
%% { » ::1 », 5672}]},
- Pour plus de sécurité, il est recommandé de mettre en place les paramètres suivants (consultez rabbitmq.config.example ci-joint) :
{honor_cipher_order, true},
{honor_ecc_order, true},
{ciphers, [
"liste des chiffrements"
]},
{honor_ecc_order, true},
{ciphers, [
"liste des chiffrements"
]},
Comme indiqué dans https://www.rabbitmq.com/ssl.html :
Lors de la négociation de la connexion TLS, le serveur et le client négocient la suite de chiffrement utilisée. Il est possible de forcer l’implémentation TLS du serveur à dicter sa préférence (ordre des suites de chiffrement) afin d’éviter les clients malveillants qui négocient intentionnellement des suites de chiffrement faibles en vue de lancer une attaque sur eux. Pour ce faire, configurez honor_cipher_order et honor_ecc_order sur true.
- Le service NSR doit être désactivé sur le NetWorker Server.
Après chaque redémarrage, il est réactivé par défaut et doit donc être désactivé à nouveau. Cela est dû au bug 300070, corrigé dans les versions 9.2.2 et ultérieures.
Étapes pour le désactiver :
nsradmin
> p type :nsr service
> update enabled : Aucune
> p type :nsr service
> update enabled : Aucune
Additional Information
En raison d’une faille de sécurité d’authentification en texte clair, le port 5672 envoie des informations d’identification non chiffrées. En guise de remède, le port 5671 a été introduit pour utiliser les chiffrements SSL, mais le port 5672 est toujours ouvert car certaines fonctions NetWorker ont besoin de ce port pour fonctionner ; Par conséquent, certains logiciels d’analyse peuvent montrer que la vulnérabilité existe toujours sur le serveur NetWorker. Cet article explique comment désactiver complètement ce port.
Pour plus d’informations sur les options rabbitmq.configuration, rendez-vous sur :
Pour plus d’informations sur les options rabbitmq.configuration, rendez-vous sur :
- https://www.rabbitmq.com/configure.html.
- https://www.rabbitmq.com/ssl.html
- https://www.rabbitmq.com/networking.html
Affected Products
NetWorkerProducts
NetWorkerArticle Properties
Article Number: 000020688
Article Type: How To
Last Modified: 16 Jun 2025
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.