PowerProtect: DP Series 및 IDPA: Avamar Server 포트 9443에 대한 "X.509 Certificate Subject CN Does Not Match the Entity Name" 취약성

2.7.7 이하의 모든 IDPA 버전에 대해 Protection Software(Avamar Server)에서 다음과 같은 취약성이 탐지될 수 있습니다.
 

취약성 제목	CVSS2 점수	자산 이름	취약성 증명	포트	프로토콜	권장 사항
X.509 인증서 주체 CN이 엔터티 이름과 일치하지 않습니다.	7.1	Avamar	X.509 인증서에 있는 주체 일반 이름이 검사 대상과 일치하지 않습니다. 주체 CN 관리자가 사이트에 지정된 DNS(Domain Name System) 이름과 일치하지 않습니다.	9443	TCP	인증서에서 주체의 CN(Common Name) 필드를 수정합니다.

포트 9443의 기본 Avamar Server 자체 서명 SSL 인증서에는 Administrator(CN)가 설정되어 있습니다. 포트 9443의 Avamar 웹 인터페이스에서 인증서는 아래와 같이 CN 정보를 표시합니다.


그림 1: 포트 9443의 기본 Avamar Server 인증서에는 CN = Administrator가 표시됩니다. 

명령줄 출력에서도 동일한 정보를 찾을 수 있습니다.

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator
   i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator

--- skipped the remaining part ---

다음은 포트 9443:

1의 Avamar Server에서 인증서를 업데이트하는 절차입니다. MCS(Avamar Management Console Server) 및 EMT(EM Tomcat) 서비스를 중지합니다.

dpnctl stop mcs
dpnctl stop emt

2. 새 MCS 개발자 키트(MCSDK) 인증서를 백업하고 생성합니다.

cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

3. 관리자 인증서를 백업 및 업데이트합니다.

Avamar 19.4 이하 버전의 경우:

cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

Avamar 19.8 이상 버전의 경우:

cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

4. Avinstaller 인증서를 업데이트합니다.

cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S)

keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt

gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose

5. Avamar MC Server 및 EMT 서비스를 시작합니다.

dpnctl start mcs
dpnctl start emt

인증서의 CN이 호스트 이름으로 업데이트되어야 합니다. 다음은 예제 출력입니다.

그림 2: 인증서의 CN이 컴퓨터 이름과 일치합니다. 

명령줄 출력에서도 동일한 정보를 찾을 수 있습니다.

#: echo -n |openssl s_client -showcerts -connect localhost:9443
CONNECTED(00000003)
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify error:num=18:self signed certificate
verify return:1
depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab
verify return:1
---
Certificate chain
 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab
   i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab

--- skipped the remaining part ---

새 Avamar MC Server 인증서가 생성되면 DPC(Data Protection Central)

에서도 Avamar Server 정보를 업데이트해야 합니다. 1. DPC 웹 사용자 인터페이스에 administrator@dpc.local로 로그인합니다.

2. "System Management"에서 Avamar Server를 선택하고 "Edit"합니다.

3. Avamar 자격 증명을 업데이트하고 Avamar 사용자 이름은 "MCUser"로 설정한 다음 "Next"를 클릭합니다.

4. 인증서 변경 사항을 수락하고 "Save"합니다. 

그림 3: DPC에서 새 Avamar Server 인증서를 수락합니다.

Avamar 프록시 포트 443 및 5480의 경우:

2.7.6 이하의 모든 IDPA 버전에 대해 Avamar Proxy에서 다음과 같은 취약성이 탐지될 수 있습니다.

취약성 제목	CVSS2 점수	자산 이름	취약성 증명	포트	프로토콜	권장 사항
X.509 인증서 주체 CN이 엔터티 이름과 일치하지 않습니다.	7.1	Avamar 프록시	X.509 인증서에 있는 주체 일반 이름이 검사 대상과 일치하지 않습니다. 주체 CN 관리자가 사이트에 지정된 DNS 이름과 일치하지 않습니다.	5480 / 443	TCP	인증서에서 주체의 CN(Common Name) 필드를 수정합니다.

이 문제는 Avamar 프록시 버전 19.10에서 해결되었습니다. IDPA 버전 2.7.7로 업그레이드하면 Avamar 버전 19.10이 포함됩니다.

IDPA 2.7.6 이하에 대한 해결 방법은 Dell Avamar for VMware 19.9 사용자 가이드에서 찾을 수 있습니다. 이 절차는 "Import custom certificate in Avamar VMware Image Backup Proxy" 섹션에 있습니다. 또한 다음이 있습니다. Avamar: How to replace the certificate for Avamar VMware Image Backup Proxy" 를 참조하십시오. (Dell 지원 포털에서 인증 필요)

PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family , Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ... 더 보기 about warranties 간단히 보기 about warranties