PowerProtect DP 系列裝置和 IDPA:在 DPC 上偵測到安全性漏洞掃描「TLS SSL 伺服器支援使用靜態金鑰密碼」

摘要: PowerProtect Data Protection (DP) 系列裝置和 IDPA:在連接埠 443 的 Data Protection Central (DPC) 上偵測到安全性漏洞掃描「TLS-SSL 伺服器支援使用靜態金鑰密碼」。這是此問題的因應措施。

本文章適用於 本文章不適用於 本文無關於任何特定產品。 本文未識別所有產品版本。
查看其他資源

說明

在 IDPA 的連接埠 443 的 DPC 上偵測到以下漏洞:

若為 DPC 版本 19.5.0-8,則隨附 IDPA 版本 2.7.2 至 2.7.4:

漏洞標題 資產名稱 服務連接埠 漏洞嚴重性層級 漏洞說明 漏洞證明
TLS/SSL 伺服器支援使用靜態金鑰加密。 DPC 443 3 伺服器配置為支援稱為靜態密鑰密碼的密碼。這些密碼不支援「前向保密」。在HTTP/2的新規範中,這些密碼已被列入黑名單。 與以下不安全的密碼套件協商:
TLS 1.2 ciphers:
TLS_RSA_WITH_AES_128_CBC_SHA
TLS_RSA_WITH_AES_128_CBC_SHA256
TLS_RSA_WITH_AES_256_CBC_SHA256
TLS_RSA_WITH_AES_256_GCM_SHA384


若為 DPC 版本 19.7.0-9 或更新版本 (具備 IDPA 版本 2.7.6 或更新版本):

漏洞標題 資產名稱 服務連接埠 漏洞嚴重性層級 漏洞說明 漏洞證明
TLS/SSL 伺服器支援使用靜態金鑰加密。 DPC 443 3 伺服器配置為支援稱為靜態密鑰密碼的密碼。這些密碼不支援「前向保密」。在HTTP/2的新規範中,這些密碼已被列入黑名單。 與以下不安全的密碼套件協商:
TLS 1.2 ciphers:
TLS_RSA_WITH_AES_256_GCM_SHA384

 

注意:DPC 預設為使用弱加密與舊版 DD 和 Avamar 系統通訊。在 IDPA 版本 2.7.2 或 2.7.3 中,Protection Software (Avamar) 版本會修正在 19.4,Protection Storage (DD) 版本會修正 7.6.0.40。因此,可以禁用弱密碼。


若要解決此漏洞,請按照以下步驟更新密碼:

  1. 系統管理員身分登入 DPC,然後 su - 使用者。
  2. 將目錄變更/etc/nginx/conf.d/
cd /etc/nginx/conf.d
  1. 製作 default.conf,例如:
cp -p default.conf default.conf.$(date -I)
  1. 編輯 default.conf 並變更 ssl_ciphers 參數:
vi default.conf

從:

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-SHA256:AES256-GCM-SHA384:AES256-SHA256:AES128-SHA256:AES128-SHA:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-SHA384:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-SHA256";

至:

ssl_ciphers "ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES128-GCM-SHA256";

預期的語法如下: 

default.conf 中的預期密碼

  1. 儲存檔案。

按下鍵盤上的 Esc 鍵以返回 vi 命令模式。然後按 :wq! 以保存檔。

  1. 重新啟動 DPC 服務:
/usr/local/dpc/bin/dpc restart
 
注意:以上指示適用於在以下位置執行的 DPC 系統: FIPS disabled 方式。若為在以下位置執行的 DPC 系統: FIPS-enabled 模式中,必須對以下三個檔案進行上述更改: 
/etc/nginx/conf.d/default.conf
/etc/nginx/conf.d/custom_config/FIPSdefault.conf
/etc/nginx/conf.d/custom_config/SSOdefault.conf

受影響的產品

PowerProtect DP4400, PowerProtect DP5300, PowerProtect DP5800, PowerProtect DP8300, PowerProtect DP8800, PowerProtect Data Protection Software, Integrated Data Protection Appliance Family, Integrated Data Protection Appliance Software , PowerProtect DP5900, PowerProtect DP8400, PowerProtect DP8900 ...
文章屬性
文章編號: 000206767
文章類型: How To
上次修改時間: 25 8月 2025
版本:  7
向其他 Dell 使用者尋求您問題的答案
支援服務
檢查您的裝置是否在支援服務的涵蓋範圍內。