PowerProtect: DP-sarja ja IDPA: Avamar Server Port 9443:n X.509-varmenteen aiheen CN-aihe ei vastaa entiteetin nimeä -haavoittuvuus

Seuraavia haavoittuvuuksia saattaa havaita suojausohjelmistossa (Avamar Server) kaikissa IDPA-versioissa versiossa 2.7.7 tai sitä vanhemmissa:
 

Haavoittuvuuden otsikko	CVSS2-piste	Resurssin nimi	Suojaus haavoittuvuuksilta	Portti	Protokolla	Suositus
X.509 Todistuksen aihe CN ei vastaa yksikön nimeä.	7.1	Avamar	X.509-varmenteessa oleva aiheen yleinen nimi ei vastaa tarkastuksen kohdetta: Aihe CN Administrator ei vastaa sivustossa määritettyä DNS (Domain Name System) -nimeä.	9443	TCP	Korjaa aiheen Common Name (CN) -kenttä varmenteessa.

Avamar Serverin itse allekirjoittaman SSL-varmenteen oletusarvon portissa 9443 yleinen nimi (CN) on Administrator. CN-tiedot näkyvät portin 9443 Avamar-verkkokäyttöliittymässä varmenteessa seuraavasti:


Kuva 1: Portin 9443 oletusarvoisessa Avamar Server -varmenteessa näkyy CN = Administrator. 

Samat tiedot löytyvät myös komentorivin tuloksesta:

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator
   i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator

--- skipped the remaining part ---

Näin voit päivittää portin 9443:

1 Avamar Serverin varmenteen. Avamar Management Console Server- (MCS)- ja EM Tomcat (EMT) -palvelujen pysäyttäminen:

dpnctl stop mcs
dpnctl stop emt

2. Varmuuskopioi ja luo uusi MCS Developer Kit (MCSDK) -varmenne:

cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

3. Järjestelmänvalvojan varmenteen varmuuskopiointi ja päivitys:

Avamar 19.4 tai aiempi versio:

cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

Avamar 19.8 -versio tai uudempi:

cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

4. Päivitä Avinstaller-varmenne:

cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose

5. Käynnistä Avamar MC Server- ja EMT-palvelut:

dpnctl start mcs
dpnctl start emt

Varmenteen CN olisi pitänyt päivittää isäntänimeen. Tässä on esimerkki tuloksesta:

Kuva 2: Varmenteen CN vastaa koneen nimeä. 

Samat tiedot löytyvät komentorivin tuloksesta:

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab
   i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab

--- skipped the remaining part ---

Kun uusi Avamar MC Server -varmenne on luotu, Avamar Server -tiedot on päivitettävä myös Data Protection Centraliin (DPC):

1. Kirjaudu DPC-verkkokäyttöliittymään tunnuksella administrator@dpc.local.

2. Valitse Avamar Server System Management -kohdassa ja Edit se.

3. Päivitä Avamar-tunnistetiedot, valitse Avamar-käyttäjätunnus MCUser, ja valitse Next.

4. Hyväksy varmenteen muutos ja tallenna se. 

Kuva 3: Hyväksy uusi Avamar-palvelinvarmenne DPC:ssä.

Avamar-välityspalvelimen portit 443 ja 5480:

Seuraava haavoittuvuus saattaa ilmetä Avamar-välityspalvelimessa kaikissa IDPA-versioissa, joiden versio on 2.7.6 tai vanhempi:

Haavoittuvuuden otsikko	CVSS2-piste	Resurssin nimi	Suojaus haavoittuvuuksilta	Portti	Protokolla	Suositus
X.509 Todistuksen aihe CN ei vastaa yksikön nimeä.	7.1	Avamar-välityspalvelin	X.509-varmenteessa oleva aiheen yleinen nimi ei vastaa tarkastuksen kohdetta: Aihe CN Administrator ei vastaa sivustossa määritettyä DNS-nimeä.	5480 / 443	TCP	Korjaa aiheen Common Name (CN) -kenttä varmenteessa.

Ongelma on ratkaistu Avamar-välityspalvelimen versiossa 19.10. Päivitä IDPA-versioon 2.7.7, niin se sisältää Avamar-version 19.10.

Kiertotapa IDPA 2.7.6:lle tai sitä vanhemmille versioille on Dell Avamar VMware 19.9:n käyttöoppaassa. Toimenpide on Tuo mukautettu varmenne Avamar VMware Image Backup -välityspalvelimessa -osassa. On myös: Avamar: Avamar VMware Image Backup Proxy -varmenteen vaihtaminen . (Edellyttää todennusta Dellin tukiportaalissa)

PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family , Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ... View More about warranties View Less about warranties