指定されたTLSバージョンが無効になっているにもかかわらず、セキュリティスキャンでTLSの脆弱性が報告されました
環境
- ONTAP 9
- Transport Layer Security(TLS)
- Qualys ID 38794
問題
- セキュリティスキャンレポートに、古いTLSバージョンが有効になっていることを示すクラスタ内のIPの脆弱性が表示されます。
vulnerability(ies): Secure Sockets Layer/Transport Layer Security (SSL/TLS) Server Supports Transport Layer Security (TLSv1.1)
- ただし、クラスタからはそのTLSバージョンが表示されません。
Cluster::> set advanced
Cluster::*> security config show -fields supported-protocols
interface supported-protocols
--------- -------------------
SSL TLSv1.2, TLSv1.3
- Linuxホストからの該当するIPのnmap出力 に、古いTLSバージョンの暗号が一覧表示されます。
Linux@Host# nmap -sV --script ssl-enum-ciphers.nse -p 443 10.XX.XX.XXX
Starting Nmap 5.51 ( http://nmap.org ) at 2023-05-17 09:12 PDT
Nmap scan report for user.group.com (10.XX.XX.XXX)
Host is up (0.0011s latency).
PORT STATE SERVICE VERSION
443/tcp open ssl/http Apache httpd
| ssl-enum-ciphers:
| TLSv1.1
| Ciphers (4)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA
| TLS_DHE_RSA_WITH_AES_256_CBC_SHA
| TLS_RSA_WITH_AES_128_CBC_SHA
| TLS_RSA_WITH_AES_256_CBC_SHA
| Compressors (1)
| uncompressed
| TLSv1.2
| Ciphers (12)
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA
| TLS_DHE_RSA_WITH_AES_128_CBC_SHA256
| .......