NetWorker-porteissa 5432, 5671, 9000, 9001 raportoidut tietoturvahaavoittuvuudet

Yhteenveto: Rapid7 tarkasti NetWorkerin eri porteissa havaitut tietoturva-aukot.

Tämä artikkeli koskee tuotetta Tämä artikkeli ei koske tuotetta Tämä artikkeli ei liity tiettyyn tuotteeseen. Tässä artikkelissa ei yksilöidä kaikkia tuoteversioita.
Tutustu muihin resursseihin

Oireet

Haavoittuvuudet on raportoitu porteissa 5671, 9000, 9001.

Portti 5671
TLS/SSL-palvelin, joka käyttää yleisesti käytettyjä Prime Numbers

-lukuja TLS-palvelin tukee TLS-versiota 1.1
X.509-varmenteen aihe CN ei vastaa yhteisön nimeä.
Ei-luotettu TLS/SSL-palvelin X.509-varmenne
Virheellinen TLS/SSL-varmenne


Portti 9000
X.509 Varmenteen aihe CN ei vastaa yhteisön nimeä.
Ei-luotettu TLS/SSL-palvelin X.509-varmenne
TLS/SSL-palvelin käyttää yleisesti käytettyjä alkulukuja.
HTTP OPTIONS -menetelmä käytössä TLS
/SSL-palvelin tukee staattisten avainsalausten käyttöä.


Portti 9001
X.509 Todistuksen aihe CN ei vastaa yksikön nimeä.
Ei-luotettu TLS/SSL-palvelin X.509-varmenne
TLS/SSL-palvelin ei tue vahvoja salausalgoritmeja.
TLS/SSL-palvelin tukee staattisten avainsalausten käyttöä.

Syy

Tietoturvatarkistuksen ilmoittama haavoittuvuus.

Tarkkuus

Portti 5432

* X.509-varmenteen aihe CN ei vastaa yhteisön nimeä.
* Ei-luotettu TLS/SSL-palvelimen X.509-varmenne
* Itse allekirjoitettu TLS/SSL-varmenne

Ratkaisu:

1. Siirry C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\ (Windows);  /nsr/nmc/nmcdb/pgdata/ (Linux)
2. Nimeä server.crt ja server.key.
3. Kopioi päämyöntäjän allekirjoittama palvelin ja yksityinen avain nimellä "server.crt" ja "server.key" vastaavasti samaan kansioon.
HUOMAUTUS: Varmista Linux-järjestelmissä, että tiedostot omistaa nsrnmc: nsrnmc ja sinulla on 600 käyttöoikeutta. 
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.crt
chown nsrnmc:nsrnmc /nsr/nmc/nmcdb/pgdata/server.key

chmod 600 /nsr/nmc/nmcdb/pgdata/server.crt
chmod 600 /nsr/nmc/nmcdb/pgdata/server.key
4. Varmista, että polku ja nimi ovat yhdenmukaiset kohdassa postgresql.conf. 
ssl_cert_file = 'server.crt'
ssl_key_file = 'server.key'
5. Uudelleenkäynnistys gst palvelut:

Linux:  
systemctl restart gst
Windows: 
net stop gstd
net start gstd

 

Portti 5671

* TLS/SSL-palvelin, joka käyttää yleisesti käytettyjä Prime Numbersia

Ratkaisu:
1. Luo DH-parametrit käyttämällä openssl. Päivitä rabbitmq.config DH-tiedoston kanssa.

Linux: /opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/rabbitmq.config 
openssl dhparam -out /opt/nsr/rabbitmq-server-3.11.16/etc/dhparam.pem 2048

Windows: C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.7.16\etc\rabbitmq.config. 
openssl.exe dhparam -out "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem" 2048
Vuosi 2048 viittaa alkuluvun kokoon bitteinä.

2. Määrittäminen rabbitmq.config varmistaa tiedosto lisäämällä määrityskohde:
Linux:  
{dhfile, "/opt/nsr/rabbitmq-server-3.11.16/etc/rabbitmq/dhparam.pem"},
Windows: 
{dhfile, "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
sisällä ssl_options heti " jälkeenkeyfile" linja.

Esimerkki:
Etsi "ssl_options" ja lisää dhfile Asetukset alla kuvatulla tavalla: 
     {ssl_options, [{cacertfile,        "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cacert.pem"}, 
                  {certfile,            "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\cert.pem"}, 
                  {keyfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-3.8.3\\etc\\key.pem"}, 
                  {dhfile,                 "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-3.8.3\etc\dhparam.pem"},
                  {verify,               verify_none}, 
* TLS-palvelin tukee TLS-versiota 1.1
 
Ratkaisu:
TLS-version 1.1 voi poistaa rabbitmq.config. Look Alla olevan rivin osalta: 
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 
                  
* X.509-varmenteen aihe CN ei vastaa yhteisön nimeä.
* Ei-luotettu TLS/SSL-palvelimen X.509-varmenne
* Virheellinen TLS/SSL-varmenne

Ratkaisu:
 
1. Siirry C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-<some number>\etc (Windows). Linuxissa polku on /opt/nsr/rabbitmq-server-<n.nn.nn>/etc/rabbitmq
2. Nimeä nykyinen uudelleen .pem Todistukset.
3. Kopioi myöntäjän allekirjoittamat varmenteet samalla nimellä kuin alkuperäinen.

Jossa:
cacert.pem = on CA-varmennepaketti.
cert.pem = on julkinen/palvelinvarmenne.
key.pem = on yksityinen avain.

4. Varmista, että polku ja nimet näkyvät oikein kohdassa rabbitmq.config.
    
     Windows:
  
{ssl_options, [{cacertfile,           "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cacert.pem"}, 
                  {certfile,             "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\cert.pem"}, 
                  {keyfile,              "C:\\Program Files\\EMC NetWorker\\nsr\\rabbitmq-server-<some numbers>\\etc\\key.pem"}, 

   
    Linux:

{ssl_options, [{cacertfile, "/etc/rabbitmq/cacert.pem"},
                    {certfile, "/etc/rabbitmq/cert.pem"},
                    {keyfile, "/etc/rabbitmq/key.pem"},
 

5. Käynnistä NetWorker- ja ALV-palvelu.


Portti 9000

* X.509-varmenteen aihe CN ei vastaa yhteisön nimeä.
* Ei-luotettu TLS/SSL-palvelin X.509-varmenne

Ratkaisu:

1) Nimeä uudelleen "server.crt" ja "server.key." Windowsissa tiedostot ovat C:\Program Files\EMC NetWorker\Management\GST\apache\conf. Linuxissa tiedostot sijaitsevat /opt/lgtonmc/apache/conf.

2) Kopioi päämyöntäjän allekirjoittama palvelinvarmenne ja yksityinen avain samaan kansioon. Vaihda myöntäjän allekirjoittaman palvelimen varmenne seuraavasti: "server.crt" ja palvelinavain kohteeseen "server.key."

3) Varmista, että polku ja nimi ovat yhdenmukaiset C:\Program Files\EMC NetWorker\Management\GST\apache\conf\httpd.conf ja C:\Program Files\EMC NetWorker\Management\GST\apache\conf\https.conf. Linuxissa, httpd.conf sijaitsee kohdassa /opt/lgtonmc/apache/conf.

Tarkistettavat rivit ovat seuraavat -

Windows: 

SSLCertificatefile "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.crt"
SSLCertificateKeyfile "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\server.key"

 Linux:

SSLCertificatefile /opt/lgtonmc/apache/conf/server.crt
SSLCertificateKeyfile /opt/lgtonmc/apache/conf/server.key


4) Linuxissa kärpästen luvan tulisi olla 600 ja omistaa nsrnmc. 

-rw------- 1 nsrnmc nsrnmc  1679 May 17 16:26 server.key
-rw------- 1 nsrnmc nsrnmc  1216 May 17 16:26 server.crt


* TLS/SSL-palvelin käyttää yleisesti käytettyjä alkulukuja

Ratkaisu:

1) Luo DH-parametrit käyttämällä openssl.

 Windows: 

openssl.exe dhparam -out  "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem" 2048

 Linux:

openssl dhparam -out "/opt/lgtonmc/apache/conf/apachedhparam.pem" 2048

 

2) Lisää "SSLOpenSSLConfCmd DHParameters <location of dhparam.pem>" sisään httpd.conf

Windows:

SSLOpenSSLConfCmd DHParameters "C:\Program Files\EMC NetWorker\Management\GST\apache\conf\apachedhparam.pem"

 

 Linux:

<VirtualHost *:9000>
Servername localhost:9000
...
...
SSLCipherSuite HIGH:!aNULL:!eNULL:!EXPORT:!DES:!MD5:!PSK:!RC4:!SSLv2:!SSLv3:!TLSv1.0:!TLSv1.1:!ADH:!MEDIUM:!LOW:@STRENGTH
SSLOpenSSLConfCmd DHParameters /opt/lgtonmc/apache/conf/apachedhparam.pem

</VirtualHost>

* HTTP-ASETUKSET Menetelmä käytössä
Tämä haavoittuvuus ei koske NMC:tä. NMC ei lataa mod_rewrite moduulia.

* TLS/SSL-palvelin tukee staattisten avainsalausten käyttöä.

Kommentoi alkuperäistä SSLCipherSuite sisään httpd.conf. Korvaa seuraavalla vastaavalla.

SSLCipherSuite EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:ECDHE-RSA-AES128-SHA:DHE-RSA-AES128-GCM-SHA256:AES256+EDH:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-SHA256:ECDHE-RSA-AES256-SHA:DHE-RSA-AES256-SHA256:DHE-RSA-AES128-SHA256:DHE-RSA-AES256-SHA:DHE-RSA-AES128-SHA:ECDHE-RSA-DES-CBC3-SHA:EDH-RSA-DES-CBC3-SHA:AES256-GCM-SHA384:AES128-GCM-SHA256:AES256-SHA256:AES128-SHA256:AES256-SHA:AES128-SHA:DES-CBC3-SHA:HIGH:!aNULL:!eNULL:!EXPORT:!3DES:!MD5:!PSK:!RC4

 

Portti 9001


*X.509-varmenteen aihe CN ei vastaa yhteisön nimeä.
*Ei-luotettu TLS/SSL-palvelimen X.509-varmenne

Tarjoamme tukea portin 9001 käyttämän varmenteen korvaamiseen.

Windowsissa:

To generate cakey.pem from CA signed certificate:

Get the CA signed certificates in individual key files, or in a single file in PFX format.
If the CA signed certificates are in a single PFX file, extract the private key, and the CA signed certificate with OpenSSL tool.
NOTE:Windows may not have OpenSSL installed. You can install OpenSSL separately.
Extract the private key, and the CA signed certificate from the PFX file. Private key:
# openssl pkcs12 -in <file>.pfx -out server.key -nodes -nocerts

CA certificate:
# openssl pkcs12 -in <file>.pfx -out server.crt -nokeys

Verify the integrity of the server.key and server.crt. Private key:
# openssl pkey -in server.key -pubout -outform pem | sha256sum

CA certificate:
# openssl x509 -in server.crt -pubkey -noout -outform pem | sha256sum
NOTE:Ensure that the output shows the same checksum hash from the above two outputs. If the checksum hashes are same, perform the next step. If they are different, there is an issue.
Convert the private key and the CA certificate to PEM format. Private key:
# openssl rsa -in server.key -outform pem -out server.key.pem

CA certificate:
# openssl x509 -in server.crt -outform pem -out server.crt.pem

Combine the key and the certificate into cakey.pem file for NMC.

Windows (PowerShell): PS > get-content server.key.pem,server.crt.pem | out-file cakey.pem

Shut down the NMC server.
Windows: net stop gstd

Copy the cakey.pem to the NMC servers installation location:
Windows: [Install Drive]:\Program Files\EMC NetWorker\Management\GST\etc\cakey.pem

Start the NMC server.
Windows: net start gstd


Linux: 

Get all the required certificates(root, intermediate, and server) from pem file format. For example: server.key, RootCA.crt, InterCA.crt, and server.crt.
Convert the private key and the certificates(root, intermediate, and server) to PEM format. Private key:
# openssl rsa -in server.key -outform pem -out server.key.pem

Certificates:
# openssl x509 -in server.crt -outform pem -out server.crt.pem

# openssl x509 -in RootCA.crt -outform pem -out RootCA.crt.pem

# openssl x509 -in InterCA.crt -outform pem -out InterCA.crt.pem

After the Chain is ready, concatenate all certificates in one file with command:

> cat server.key.pem RootCA.crt.pem InterCA.crt.pem server.crt.pem > cakey.pem

NOTE:Order of the certificates in concatenation is important. server.key should always be the first certificate, and server.pem should always be the last certificate in this file. Change the owner and group of file to nsrnmc.

Stop NetWorker services.

systemctl stop networker
systemctl stop gst

Move to directory /opt/lgtonmc/etc/, rename the existing cakey.pem, and copy the cakey.pem file which has your CA certificate chain.

Start the NetWorker services.

systemctl start networker
systemctl start gst

All the services should come up gracefully.



* TLS/SSL-palvelin ei tue vahvoja salausalgoritmeja

NetWorker 19.5 -versiossa ja sitä uudemmissa versioissa on käytössä vahvojen salausten tuki. Päivittää palvelimet, joita haavoittuvuus koskee, NetWorker 19.5.x:

ään* TLS/SSL-palvelin tukee staattisten avainsalausten käyttöä.

Tätä ei ole vielä korjattu Windows-ympäristössä. Ongelma on korjattu virheen korjauksella.

 

Tuotteet

NetWorker
Artikkelin ominaisuudet
Artikkelin numero: 000193150
Artikkelin tyyppi: Solution
Viimeksi muutettu: 04 toukok. 2026
Versio:  5
Etsi vastauksia kysymyksiisi muilta Dell-käyttäjiltä
Tukipalvelut
Tarkista, kuuluuko laitteesi tukipalveluiden piiriin.