Connectrix Brocade: SHA1 udfaset indstilling for SSH-sårbarhed

Oversigt: SHA1 forældet indstilling for SSH-sikkerhedsrisiko.

Denne artikel gælder for Denne artikel gælder ikke for Denne artikel er ikke knyttet til et bestemt produkt. Det er ikke alle produktversioner, der er identificeret i denne artikel.
Udforsk andre ressourcer

Symptomer

Der er ingen SHA1-cifre til stede i seccryptocfg output, men sikkerhedsscanningen markerer stadig denne sårbarhed. 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

Årsag

I FOS-versioner før FOS 9.2.2, RSA SSH hostkey/pubkey Brug en hashing algorithm (SHA1) som ikke længere betragtes som tilstrækkelig stærk og almindeligvis rapporteres som en potentiel sårbarhed af scanningsværktøjer (såsom Qualys).

Mens brugerne kan generere og bruge ECDSA SSH hostkey/pubkey I stedet for RSA. FOS v9.2.2 er forbedret, så administratoren kan konfigurere SSH HostkeyAlgorithms og PubkeyAlgorithms for SSH forbindelser til og fra FOS og tillader stærkere RSA hostkey/pubkey Brug af kommandoen seccryptocfg.

Løsning

Opgrader switchen til FOS 9.2.2.

De kryptografiske skabeloner i FOS v9.2.2 opdateres med HostKeyAlgorithms og PubKeyAlgorithms nøgleposter under SSH.

Eksempel på platforme, der leveres med FOS v9.2.2 fra fabrikken:

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

Så de nye attributter HostkeyAlg og PubkeyAlg er tilgængelige med kommandoen seccryptocfg --apply til at konfigurere platforme, der er opgraderet til FOS v9.2.2.

 

Bemærk: Ved konfiguration af SSH HostkeyAlgorithms og PubkeyAlgorithms Bruge seccryptocfg --applygenstartes SSH-tjenesten (i FOS) for at indlæse den nye konfiguration, og alle eksisterende SSH-sessioner på den aktuelle CP samt på standby-CP'en (i kabinettet) afsluttes.

Eksempel:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

Produkter

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Artikelegenskaber
Artikelnummer: 000330885
Artikeltype: Solution
Senest ændret: 23 maj 2026
Version:  5
Find svar på dine spørgsmål fra andre Dell-brugere
Supportservices
Kontrollér, om din enhed er dækket af supportservices.