Connectrix B-Series: 여러 SSH 매개변수가 동시에 변경되는 경우 Seccryptocfg가 SSHD 구성을 제대로 업데이트하지 못할 수 있음

사용자가 seccryptocfg 를 실행하여 동일한 명령에서 여러 SSH 매개변수(cipher, kex, mac)를 변경하면 SSHD 구성이 올바르게 업데이트되지 않거나 SSHD 프로세스가 재시작되지 않을 수 있습니다. seccryptocfg 명령의 출력은 SSH가 원하는 대로 구성되었다고 표시할 수 있지만 표시된 구성은 효과적이지 않을 수 있습니다.

SSH 매개변수를 변경한 후 seccryptocfg는 실행 중인 SSHD 구성과 다르게 구성된 SSH를 표시할 수 있습니다.

이 문제는 일반적으로 보고된 보안 검사 취약성을 해결하기 위해 SSH 매개변수를 업데이트할 때 나타납니다. 사용자가 취약한 항목을 사용 안함으로 설정하고 seccryptocfg 명령의 출력에 더 이상 표시되지 않는 경우, SSHD 프로세스가 올바르게 업데이트되지 않았으므로 보안 스캔이 이를 계속 보고할 수 있습니다.

seccryptocfg 명령은 SSH 매개변수(cipher, kex, mac)를 변경할 때마다 SSHD 프로세스를 재시작하려고 시도하며, 동일한 명령에 여러 매개변수가 구성된 경우 기본 구성 파일에서 모든 SSH 매개변수가 업데이트되기 전에 사용자 SSH 세션이 종료되거나 SSHD가 다시 시작되기 전에 SSH 세션이 종료될 수 있습니다.

영향을 받는 소프트웨어 릴리스: v8.2.2c 이하

해결 방법:

몇 가지 해결 방법이 있습니다.

• seccryptocfg를 사용하여 SSH 매개변수를 업데이트하는 경우 한 번에 하나의 매개변수만 변경합니다.

  예를 들어 다음 명령은 동일한 명령에서 'cipher' 및 'kex' 매개 변수를 모두 업데이트하며 이 문제가 발생할 수 있습니다.

  seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr  -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

  위의 명령을 다음 두 명령으로 나누면 이 문제를 방지할 수 있습니다.

  seccryptocfg --replace -type SSH -cipher aes128-ctr,aes192-ctr

  seccryptocfg --replace -type SSH -kex ecdh-sha2-nistp256,ecdh-sha2-nistp384

• 이 문제를 방지하는 또 다른 방법은 Telnet 세션 또는 직렬 콘솔 포트 연결에서 seccryptocfg 명령을 사용하는 것입니다.

해결 방법:

FOS v8.2.2d 또는 FOS v9.0.0 이상으로 업그레이드한 다음 seccryptocfg 명령을 실행합니다.