PowerProtect DPシリーズ アプライアンスおよびIDPA:セキュリティ脆弱性スキャンがDPCで「TLS SSLサーバーが静的キー暗号の使用をサポート」していることが検出されました

概要: PowerProtect Data Protection (DP)シリーズ アプライアンスおよびIDPA: セキュリティ脆弱性スキャンで、ポート443のData Protection Central (DPC)で「TLS-SSLサーバーは静的キー暗号の使用をサポートしています」が検出されました。この問題の回避策は次のとおりです。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。
他のリソースを確認する

手順

IDPAのポート443のDPCで次の脆弱性が検出されました:

DPCバージョン19.5.0-8の場合、IDPAバージョン2.7.2から2.7.4に付属しています。

脆弱性のタイトル 資産名 サービス ポート 脆弱性の重大度レベル 脆弱性の説明 脆弱性への配慮
TLS/SSLサーバーは、静的キー暗号の使用をサポートします。 DPC 443 3 サーバーは、静的キー暗号と呼ばれる暗号をサポートするように構成されています。これらの暗号は「前方秘匿性」をサポートしていません。HTTP/2の新しい仕様では、これらの暗号はブラックリストに登録されています。 次の安全でない暗号スイートとネゴシエートしました。
TLS 1.2 ciphers:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384


DPCバージョン19.7.0-9以降(IDPAバージョン2.7.6以降を含む)の場合:

脆弱性のタイトル 資産名 サービス ポート 脆弱性の重大度レベル 脆弱性の説明 脆弱性への配慮
TLS/SSLサーバーは、静的キー暗号の使用をサポートします。 DPC 443 3 サーバーは、静的キー暗号と呼ばれる暗号をサポートするように構成されています。これらの暗号は「前方秘匿性」をサポートしていません。HTTP/2の新しい仕様では、これらの暗号はブラックリストに登録されています。 次の安全でない暗号スイートとネゴシエートしました。
TLS 1.2 ciphers:
TLS_RSA_WITH_AES_256_GCM_SHA384

 

注:DPCは、デフォルトで脆弱な暗号を使用して、古いバージョンのDDおよびAvamarシステムと通信します。IDPAバージョン2.7.2または2.7.3では、保護ソフトウェア(Avamar)バージョンは19.4に、保護ストレージ(DD)バージョンは7.6.0.40に修正されています。したがって、弱い暗号を無効にする可能性があります。


この脆弱性を回避するには、次の手順に従って暗号をアップデートします。

  1. 管理者としてDPCにログインしsu - をrootユーザーに割り当てます。
  2. ディレクトリーを次のように変更します。 /etc/nginx/conf.d/
cd /etc/nginx/conf.d
  1. 次の コピー を作成します。 default.confの出力に表示されます。例を以下に示します。
cp -p default.conf default.conf.$(date -I)
  1. 編集 default.conf を無効にし、 ssl_ciphers パラメーター:
vi default.conf

[From]:

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:AES256-GCM-SHA384:AES256-SHA256:AES128-SHA256:AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256";

To:

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256";

予想される構文は次のようになります。 

default.confで想定される暗号

  1. Save]をクリックしてファイルを保存します。

キーボードの Esc を押して、vi コマンドモードに戻ります。次に、を押します :wq! をクリックしてファイルを保存します。

  1. DPCサービスを再起動します。
/usr/local/dpc/bin/dpc restart
 
注:上記の手順は、で実行されているDPCシステムに適用されます FIPS disabled モード。で実行されているDPCシステムの場合 FIPS-enabled mode では、上記の 3 つのファイルを変更する必要があります。 
/etc/nginx/conf.d/default.conf
/etc/nginx/conf.d/custom_config/FIPSdefault.conf
/etc/nginx/conf.d/custom_config/SSOdefault.conf

対象製品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文書のプロパティ
文書番号: 000206767
文書の種類: How To
最終更新: 16 5月 2026
バージョン:  8
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。