PowerProtect DP 系列备份一体机和 IDPA:在 DPC 上检测到安全漏洞扫描“TLS SSL Server Supports The Use of Static Key Ciphers”

摘要: PowerProtect Data Protection (DP) 系列备份一体机和 IDPA:在 Data Protection Central (DPC) 端口 443 上检测到安全漏洞扫描“TLS-SSL 服务器支持使用静态密钥密码”。以下是该问题的解决方法。

本文适用于 本文不适用于 本文并非针对某种特定的产品。 本文并非包含所有产品版本。
查看其他资源

说明

在 IDPA 的 DPC 端口 443 上检测到以下漏洞:

对于 DPC 版本 19.5.0-8,它随附 IDPA 版本 2.7.2 至 2.7.4:

漏洞标题 资产名称 服务端口 漏洞严重性级别 漏洞描述 漏洞证明
TLS/SSL 服务器支持使用静态密钥密码。 DPC 443 3 服务器配置为支持称为静态密钥密码的密码。这些密码不支持“前向保密”。在 HTTP/2 的新规范中,这些密码已被列入黑名单。 与以下不安全的密码套件协商:
TLS 1.2 ciphers:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384


对于 DPC 版本 19.7.0-9 或更高版本(IDPA 版本 2.7.6 或更高版本):

漏洞标题 资产名称 服务端口 漏洞严重性级别 漏洞描述 漏洞证明
TLS/SSL 服务器支持使用静态密钥密码。 DPC 443 3 服务器配置为支持称为静态密钥密码的密码。这些密码不支持“前向保密”。在 HTTP/2 的新规范中,这些密码已被列入黑名单。 与以下不安全的密码套件协商:
TLS 1.2 ciphers:
TLS_RSA_WITH_AES_256_GCM_SHA384

 

提醒:默认情况下,DPC 使用弱密码与较旧版本的 DD 和 Avamar 系统进行通信。在 IDPA 版本 2.7.2 或 2.7.3 中,保护软件 (Avamar) 版本在 19.4 上修复,保护存储 (DD) 版本在 7.6.0.40 上修复。因此,可以禁用弱密码。


要解决此漏洞,请按照以下步骤更新密码:

  1. 管理员身份登录到 DPC,然后 su - 归根用户使用。
  2. 将目录切换到 /etc/nginx/conf.d/
cd /etc/nginx/conf.d
  1. 复制 default.conf例如:
cp -p default.conf default.conf.$(date -I)
  1. 编辑 default.conf 并更改 ssl_ciphers 参数:
vi default.conf

From:

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:AES256-GCM-SHA384:AES256-SHA256:AES128-SHA256:AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256";

收件人:

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256";

预期语法如下所示: 

default.conf 中的预期密码

  1. 保存文件。

按键盘上的 Esc 键以返回 vi 命令模式。然后按 :wq! 以保存文件。

  1. 重新启动 DPC 服务:
/usr/local/dpc/bin/dpc restart
 
提醒:以上说明适用于在 中运行的 DPC 系统 FIPS disabled 模式。对于在 中运行的 DPC 系统 FIPS-enabled 模式下,必须对这三个文件进行上述更改: 
/etc/nginx/conf.d/default.conf
/etc/nginx/conf.d/custom_config/FIPSdefault.conf
/etc/nginx/conf.d/custom_config/SSOdefault.conf

受影响的产品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文章属性
文章编号: 000206767
文章类型: How To
上次修改时间: 25 8月 2025
版本:  7
从其他戴尔用户那里查找问题的答案
支持服务
检查您的设备是否在支持服务涵盖的范围内。