NetWorker: lo scanner di sicurezza segnala una vulnerabilità sulle porte 5432 e 5671 per un server NetWorker, NetWorker Management Console basato su Windows

Il percorso del Registro di sistema del sistema operativo Windows. Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols è vuoto, ciò indica che tutte le versioni TLS sono abilitate.
 

Figura 1. Schermata del registro di sistema del sistema operativo Windows 

Poiché le precedenti versioni TLS sono abilitate, le porte 5671 e 5432 le hanno usate durante la negoziazione.

Ridurre questa vulnerabilità apportando le seguenti modifiche alle configurazioni RabbitMQ e Postgres.
 

Per la porta RabbitMQ 5671:

1. Sul server NetWorker, modificare il percorso "C:\Program Files\EMC NetWorker\nsr\rabbitmq-server-#.#.#\etc\rabbitmq.conf" con la riga seguente.

From:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2', 'tlsv1.1']}, 

To:
% disable TLS 1.0, remove tlsv1.1 if it is not needed 
                  {versions,   ['tlsv1.2']},

2. Salvare le modifiche del file.

Per la porta Postgres 5432:

1. Sul server NMC, modificare "C:\Program Files\EMC NetWorker\Management\nmcdb\pgdata\postgresql.conf" con la riga seguente.

From:
ssl_ciphers = 'TLSv1.2:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

To:
ssl_ciphers = 'TLSv1.2:!TLSv1.1:!TLSv1.0:HIGH:!SSLv3:!NULL:!ADH:!MEDIUM:!LOW:!EXP:!MD5:!RC4:!3DES:@STRENGTH' #allowed SSL ciphers

2. Salvare le modifiche del file.

Riavviare i servizi:

Riavviare i servizi del server NetWorker e del server NMC con il seguente comando:

net stop nsrexecd /y

 Se il sistema è sia un server NetWorker che un server NMC, eseguire i comandi che seguono:

net start nsrd
net start gstd

net start nsrexecd
net start gstd

• How to enable or disable TLS from the Windows Registry  
• TLS versions enabled or disabled on different Windows versions