メイン コンテンツに進む
  • すばやく簡単にご注文が可能
  • 注文内容の表示、配送状況をトラック
  • 会員限定の特典や割引のご利用
  • 製品リストの作成とアクセスが可能

PowerProtect DPシリーズ アプライアンスおよび統合データ保護アプライアンス: セキュリティ脆弱性スキャンが検索で「TLS SSL弱MAC暗号スイート」を検出しました

概要: この記事では、Search for Integration Data Protection Applianceバージョン2.7.2、2.7.3、2.7.4で検出された「TLS/SSL Weak Message Authentication Code Cipher Suites for Ports 442, 443, and 445」の回避策について説明します。

この記事は次に適用されます: この記事は次には適用されません: この記事は、特定の製品に関連付けられていません。 すべての製品パージョンがこの記事に記載されているわけではありません。

手順

検索コンポーネント、ポート442、443、445で、Integration Data Protection Applianceバージョン2.7.2、2.7.3、2.7.4で次の脆弱性が検出された場合(表を参照)。
 
脆弱性タイトル コンポーネント サービス ポート サービス プロトコル 脆弱性の重大度
レベル
脆弱性の説明 脆弱性の証明
TLS SSL弱メッセージ認証コード暗号スイート DP検索 442 TCP 4 Transport Layer Securityバージョン1.2以前には、MD5やSHA1などの暗号化形式に弱いHLIC(ハッシュ ベースのメッセージ認証コード)を使用する暗号スイートのサポートが含まれています。 次の安全でない暗号スイートとのネゴシエート:
    * TLS 1.2暗号:
       * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS SSL弱メッセージ認証コード暗号スイート DP検索 443 TCP 4 Transport Layer Securityバージョン1.2以前には、MD5やSHA1などの暗号化形式に弱いHLIC(ハッシュ ベースのメッセージ認証コード)を使用する暗号スイートのサポートが含まれています。 次の安全でない暗号スイートとのネゴシエート:
    * TLS 1.2暗号:
       * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA
TLS SSL弱メッセージ認証コード暗号スイート DP検索 445 TCP 4 Transport Layer Securityバージョン1.2以前には、MD5やSHA1などの暗号化形式に弱いHLIC(ハッシュ ベースのメッセージ認証コード)を使用する暗号スイートのサポートが含まれています。 次の安全でない暗号スイートとのネゴシエート:
    * TLS 1.2暗号:
       * TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA

* TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA


問題を軽減するには、次の手順に従います。
  1. 検索インデックス コントロール ノードへのPuTTYセッションを開き、「root」ユーザーとしてログインします。 
  2. 次のコマンドを使用して、作業ディレクトリーを「/etc/nginx」に変更します。 
cd /etc/nginx
  1. 「nginx.cis.conf」および「nginx.search.conf」ファイルがディレクトリに存在することを確認します。
Search:/etc/nginx #ls -la
total 96
drwxr-xr-x  2 root root 4096 Jun  5 11:42 .
drwxr-xr-x 92 root root 4096 Jul 18 11:51 ..
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf
-rw-r--r--  1 root root 1077 Apr 19 14:48 fastcgi.conf.default
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params
-rw-r--r--  1 root root 1007 Apr 19 14:48 fastcgi_params.default
-rw-r--r--  1 root root 2837 Apr 19 14:48 koi-utf
-rw-r--r--  1 root root 2223 Apr 19 14:48 koi-win
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types
-rw-r--r--  1 root root 5349 Apr 19 14:48 mime.types.default
-rw-r--r--  1 root root 1021 Jun  5 11:42 nginx.avamar-action.conf
-rw-r--r--  1 root root 3086 Jun  5 11:39 nginx.cis.conf
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf
-rw-r--r--  1 root root 2656 Apr 19 14:48 nginx.conf.default
-rw-r--r--  1 root root  548 Jun  5 11:42 nginx.conf.tmp
-rw-r--r--  1 root root 1027 Jun  5 11:42 nginx.networker-action.conf
-rw-r--r--  1 root root 2513 Jun  5 11:42 nginx.search.conf
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params
-rw-r--r--  1 root root  636 Apr 19 14:48 scgi_params.default
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params
-rw-r--r--  1 root root  664 Apr 19 14:48 uwsgi_params.default
-rw-r--r--  1 root root 3610 Apr 19 14:48 win-utf
Search:/etc/nginx #
  1. 現在の「nginx.cis.conf」および「nginx.search.conf」ファイルのコピーを作成します。
cp nginx.cis.conf nginx.cis.conf.default
cp nginx.search.conf nginx.search.conf.default
  1. 「nginx.cis.conf」および「nginx.search.conf」ファイルのssl_ciphersを更新します。
From:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 +SHA !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

To:
ssl_ciphers 'kEECDH+ECDSA+AES128 kEECDH+ECDSA+AES256 kEECDH+AES128 kEECDH+AES256 kEDH+AES128 kEDH+AES256 !SHA1 !aNULL !eNULL !LOW !kECDH !DSS !MD5 !EXP !PSK !SRP !CAMELLIA !SEED !DES';

以下に示すように、「nginx.cis.conf」には2つのエントリーがあります。
nginx.cis.confファイルのスクリーンショット
図1: nginx.cis.confファイルのスクリーンショット

以下に示すように、「nginx.search.conf」にエントリーが1つあります。
nginx.search.confファイルのスクリーンショット
図2:
nginx.search.confファイルのスクリーンショット
 
メモ: 「#」で始まる行はコメントとみなされ、有効になりません。
 
  1. 検索サーバーを再起動します。
systemctl reboot
  1. 「TLS_ECDHE_RSA_WITH_AES_128_CBC_SHAとTLS_ECDHE_RSA_WITH_AES_256_CBC_SHA」は暗号リストから削除する必要があります。 
スキャン結果は次のようになります。
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 15:11 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000036s latency).
Other addresses for localhost (not scanned): ::1

PORT    STATE SERVICE  VERSION
442/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp open  ssl/http nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 13.60 seconds
Search:~ #

その他の情報

セキュリティ脆弱性スキャンでは、Searchのポート30002の「TLS SSL Weak Message Authentication Code Cipher Suites」も検出します。
 
脆弱性タイトル コンポーネント サービス ポート サービス プロトコル 脆弱性の重大度
レベル
脆弱性の説明 脆弱性の証明
TLS SSL弱メッセージ認証コード暗号スイート DP検索 30002 TCP 4 Transport Layer Securityバージョン1.2以前には、MD5やSHA1などの暗号化形式に弱いHLIC(ハッシュ ベースのメッセージ認証コード)を使用する暗号スイートのサポートが含まれています。 次の安全でない暗号スイートとのネゴシエート:
    * TLS 1.2暗号:
       * TLS_RSA_WITH_AES_256_CBC_SHA

ポート30002の暗号訴訟は、次の統合データ保護アプライアンスのメジャー リリースでAvamarが更新された後に更新される予定です。

回避策を実装する前に、ポート442、443、445、30002のスキャン結果は次のようになります。
Search:~ #nmap -sV --script ssl-enum-ciphers -p 442,443,445,30002 localhost -Pn
Starting Nmap 7.94 ( https://nmap.org ) at 2023-07-31 14:27 GMT-10
Nmap scan report for localhost (127.0.0.1)
Host is up (0.000041s latency).
Other addresses for localhost (not scanned): ::1

PORT      STATE  SERVICE        VERSION
442/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
443/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
445/tcp   open   ssl/http       nginx
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384 (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA (secp256r1) - A
|       TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA (secp256r1) - A
|     compressors:
|       NULL
|     cipher preference: server
|_  least strength: A
30002/tcp open  ssl/pago-services2?
| ssl-enum-ciphers:
|   TLSv1.2:
|     ciphers:
|       TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 (secp384r1) - A
|       TLS_RSA_WITH_AES_256_CBC_SHA (rsa 3072) - A
|     compressors:
|       NULL
|     cipher preference: client
|_  least strength: A


Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 12.44 seconds
Search:~ #

対象製品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DD6400, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文書のプロパティ
文書番号: 000216308
文書の種類: How To
最終更新: 26 10月 2023
バージョン:  5
質問に対する他のDellユーザーからの回答を見つける
サポート サービス
お使いのデバイスがサポート サービスの対象かどうかを確認してください。