Connectrix Brocade: Udfaset SHA1-indstilling for SSH-sårbarhed

Summary: SHA1 forældet indstilling for SSH-sikkerhedsrisiko.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Ingen SHA1-cifre er til stede i seccryptocfg-output. Men sikkerhedsscanningen markerer stadig denne sårbarhed. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

I FOS-versioner før FOS 9.2.2 bruger RSA SSH hostkey/pubkey en hashingalgoritme (SHA1), som ikke længere betragtes som tilstrækkelig stærk og almindeligvis rapporteres som en potentiel sårbarhed af scanningsværktøjer (såsom Qualys).

Mens brugere kan generere og bruge ECDSA SSH hostkey/pubkey i stedet for RSA, er FOS v9.2.2 forbedret, så administratoren kan konfigurere SSH HostkeyAlgorithms og PubkeyAlgorithms til SSH-forbindelser til/fra FOS og tillade stærkere RSA-hostkey/pubkey ved hjælp af kommandoen seccryptocfg.
 

Resolution

Opgrader switchen til FOS 9.2.2.

De kryptografiske skabeloner i FOS v9.2.2 opdateres med nøgleposterne "HostKeyAlgorithms" og "PubKeyAlgorithms" under SSH.

Eksempel på platforme, der leveres med FOS v9.2.2 fra fabrikken:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

Så de nye attributter "HostkeyAlg" og "PubkeyAlg" er tilgængelige med kommandoen 'seccryptocfg --apply' til at konfigurere platforme, der er opgraderet til FOS v9.2.2.
SEDDEL: Ved konfiguration af SSH HostkeyAlgorithms og PubkeyAlgorithms ved hjælp af 'seccryptocfg --apply'genstartes SSH-tjenesten (i FOS) for at indlæse den nye konfiguration, og alle eksisterende SSH-sessioner på den aktuelle CP samt på standby-CP'en (i kabinettet) afsluttes.

Eksempel:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.