PowerProtect. Серия DP и IDPA: Уязвимость «X.509 Certificate Subject CN не соответствует имени сущности» для порта Avamar Server 9443
Сводка: Устройства серии PowerProtect Data Protection (DP) и Integrated Data Protection Appliance (IDPA) Сканирование на наличие уязвимостей безопасности обнаружило сообщение «X.509 Certificate Subject CN не соответствует имени объекта» для порта Avamar Server 9443 для IDPA версии 2.7.7 или более ранней. В этой статье приведена процедура решения этой проблемы. ...
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
Следующие уязвимости могут быть обнаружены в защитном программном обеспечении (Avamar Server) для всех версий IDPA до 2.7.7 или ниже:
| Заголовок уязвимости | Рейтинг CVSS2 | Имя ресурса | Защита от уязвимостей | Порт | Протокол | Рекомендации |
| Общее имя субъекта сертификата X.509 не соответствует имени объекта. | 7.1 | Avamar | Общее имя субъекта, найденное в сертификате X.509, не соответствует цели сканирования: Субъект CN Administrator не соответствует имени системы доменных имен (DNS), указанному на сайте. | 9443 | TCP | Исправьте поле «Общее имя» (CN) субъекта в сертификате. |
Причина
Самозаверяющий сертификат SSL Avamar Server по умолчанию на порте 9443 имеет общее имя (CN) Administrator. В веб-интерфейсе Avamar на порте 9443 в сертификате отображается информация CN следующим образом:
Рис. 1. Сертификат Avamar Server по умолчанию на порте 9443 показывает CN = Administrator.
Кроме того, эту же информацию можно найти в выводе командной строки:
Рис. 1. Сертификат Avamar Server по умолчанию на порте 9443 показывает CN = Administrator.
Кроме того, эту же информацию можно найти в выводе командной строки:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = DELL-EMC, OU = Avamar, CN = Administrator verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator i:/C=US/ST=California/L=Irvine/O=DELL-EMC/OU=Avamar/CN=Administrator --- skipped the remaining part ---
Разрешение
Ниже приведена процедура обновления сертификата на Avamar Server через порт 9443:
1. Остановите работу сервера Avamar Management Console Server (MCS) и служб EM Tomcat (EMT).
2. Создайте резервную копию и создайте новый сертификат MCS Developer Kit (MCSDK):
3. Создайте резервную копию и обновите сертификат администратора.
Для Avamar 19.4 или более ранних версий:
Для Avamar 19.8 или более поздних версий:
4. Обновите сертификат Avinstaller:
5. Запустите сервер Avamar MC и службы EMT.
Электронное имя сертификата должно быть изменено на имя хоста. Вот пример выходных данных:
Рис. Общее имя сертификата сопоставляется с именем компьютера.
Эту же информацию можно найти в выходных данных командной строки:
После создания нового сертификата Avamar MC Server необходимо также обновить информацию о Avamar Server в Data Protection Central (DPC):
1. Войдите в пользовательский веб-интерфейс DPC как administrator@dpc.local.
2. Выберите Avamar Server в разделе «System Management» и нажмите «Edit».
3. Обновите учетные данные Avamar, имя пользователя Avamar — «MCUser», и нажмите «Next».
4. Примите изменение сертификата и нажмите «Сохранить» его.
Рис. 3. Принятие нового сертификата сервера Avamar в DPC.
1. Остановите работу сервера Avamar Management Console Server (MCS) и служб EM Tomcat (EMT).
dpnctl stop mcs dpnctl stop emt
2. Создайте резервную копию и создайте новый сертификат MCS Developer Kit (MCSDK):
cp -p /usr/local/avamar/lib/rmi_ssl_keystore /usr/local/avamar/lib/rmi_ssl_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcjwt -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcssl -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias mcjwt -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /usr/local/avamar/lib/rmi_ssl_keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt
3. Создайте резервную копию и обновите сертификат администратора.
Для Avamar 19.4 или более ранних версий:
cp -p /home/admin/.keystore /home/admin/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA256withRSA -keysize 3072 -keystore /home/admin/.keystore -validity 3652 -dname "EMAILADDRESS=root, CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/admin/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
Для Avamar 19.8 или более поздних версий:
cp -p /home/tomcat/.keystore /home/tomcat/.keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -genkeypair -v -alias tomcat -keyalg RSA -sigalg SHA512withRSA -keysize 3072 -keystore /home/tomcat/.keystore -validity 3652 -dname "CN=`hostname -f`, OU=Dell EMC, O=Dell Technologies, L=Irvine, ST=California, C=US" -storepass `ask_pass -r keystore_passphrase` -keypass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /home/tomcat/.keystore -storepass `ask_pass -r keystore_passphrase` -noprompt
4. Обновите сертификат Avinstaller:
cp -p /usr/local/avamar/lib/avi/avi_keystore /usr/local/avamar/lib/avi/avi_keystore_$(date +%Y-%m-%d_%H-%M-%S) keytool -delete -alias tomcat -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -delete -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt keytool -list -alias mcssl -keystore /usr/local/avamar/lib/rmi_ssl_keystore -storepass `ask_pass -r keystore_passphrase` -rfc | keytool -import -trustcacerts -alias mcssl -keystore /usr/local/avamar/lib/avi/avi_keystore -storepass `ask_pass -r keystore_passphrase` -noprompt gen-ssl-cert --norestart --noupdateapache --updateavi --keystorepwd=`ask_pass -r keystore_passphrase` --verbose
5. Запустите сервер Avamar MC и службы EMT.
dpnctl start mcs dpnctl start emt
Электронное имя сертификата должно быть изменено на имя хоста. Вот пример выходных данных:
Рис. Общее имя сертификата сопоставляется с именем компьютера.
Эту же информацию можно найти в выходных данных командной строки:
#: echo -n |openssl s_client -showcerts -connect localhost:9443 CONNECTED(00000003) depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify error:num=18:self signed certificate verify return:1 depth=0 C = US, ST = California, L = Irvine, O = Dell Technologies, OU = Dell EMC, CN = idpa-ave.dpas.syd.lab verify return:1 --- Certificate chain 0 s:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab i:/C=US/ST=California/L=Irvine/O=Dell Technologies/OU=Dell EMC/CN=idpa-ave.dpas.syd.lab --- skipped the remaining part ---
После создания нового сертификата Avamar MC Server необходимо также обновить информацию о Avamar Server в Data Protection Central (DPC):
1. Войдите в пользовательский веб-интерфейс DPC как administrator@dpc.local.
2. Выберите Avamar Server в разделе «System Management» и нажмите «Edit».
3. Обновите учетные данные Avamar, имя пользователя Avamar — «MCUser», и нажмите «Next».
4. Примите изменение сертификата и нажмите «Сохранить» его.
Рис. 3. Принятие нового сертификата сервера Avamar в DPC.
Дополнительная информация
Для портов 443 и 5480 прокси-сервера Avamar:
Следующая уязвимость может быть обнаружена на прокси-сервере Avamar для всех версий IDPA до 2.7.6 или ниже:
Проблема устранена в прокси-сервере Avamar версии 19.10. Выполните модернизацию до IDPA версии 2.7.7 и Avamar версии 19.10.
Временное решение для IDPA 2.7.6 или более ранних версий можно найти в руководстве пользователя Dell Avamar для VMware 19.9. Процедура находится в разделе «Импорт настраиваемого сертификата в Avamar VMware Image Backup Proxy ». Также есть: Avamar. «Замена сертификата для Avamar VMware Image Backup Proxy ». (Требуется аутентификация на портале поддержки Dell)
Следующая уязвимость может быть обнаружена на прокси-сервере Avamar для всех версий IDPA до 2.7.6 или ниже:
| Заголовок уязвимости | Рейтинг CVSS2 | Имя ресурса | Защита от уязвимостей | Порт | Протокол | Рекомендации |
| Общее имя субъекта сертификата X.509 не соответствует имени объекта. | 7.1 | Прокси-сервер Avamar | Общее имя субъекта, найденное в сертификате X.509, не соответствует цели сканирования: Субъект CN Administrator не соответствует DNS-имени, указанному на сайте. | 5480 / 443 | TCP | Исправьте поле «Общее имя» (CN) субъекта в сертификате. |
Проблема устранена в прокси-сервере Avamar версии 19.10. Выполните модернизацию до IDPA версии 2.7.7 и Avamar версии 19.10.
Временное решение для IDPA 2.7.6 или более ранних версий можно найти в руководстве пользователя Dell Avamar для VMware 19.9. Процедура находится в разделе «Импорт настраиваемого сертификата в Avamar VMware Image Backup Proxy ». Также есть: Avamar. «Замена сертификата для Avamar VMware Image Backup Proxy ». (Требуется аутентификация на портале поддержки Dell)
Затронутые продукты
PowerProtect Data Protection Appliance, PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family
, Integrated Data Protection Appliance Software, PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900
...
Свойства статьи
Номер статьи: 000227729
Тип статьи: Solution
Последнее изменение: 05 Aug 2025
Версия: 2
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.