Connectrix Brocade: SHA1-veraltete Einstellung für SSH-Sicherheitslücke

Summary: SHA1-veraltete Einstellung für SSH-Sicherheitslücke.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

In der seccryptocfg-Ausgabe sind keine SHA1-Chiffren vorhanden. Der Sicherheitsscan markiert diese Schwachstelle jedoch weiterhin. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

In FOS-Versionen vor FOS 9.2.2 verwenden RSA-SSH-Hostkey/Pubkey einen Hashing-Algorithmus (SHA1), der nicht mehr als ausreichend stark angesehen wird und von Scantools (wie Qualys) häufig als potenzielle Schwachstelle gemeldet wird.

Während Nutzer ECDSA SSH hostkey/pubkey anstelle von RSA generieren und verwenden können, wurde FOS v9.2.2 erweitert, um dem Administrator die Konfiguration von SSH HostkeyAlgorithms und PubkeyAlgorithms für SSH-Verbindungen zu/von FOS zu ermöglichen und stärkere RSA Hostkey/Pubkey mit dem Befehl seccryptocfg zuzulassen.
 

Resolution

Aktualisieren Sie den Switch auf FOS 9.2.2.

Die kryptografischen Vorlagen in FOS v9.2.2 werden mit den Schlüsseleinträgen "HostKeyAlgorithms" und "PubKeyAlgorithms" unter SSH aktualisiert.

Beispiel für Plattformen, die ab Werk mit FOS v9.2.2 ausgeliefert werden:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

Die neuen Attribute "HostkeyAlg" und "PubkeyAlg" stehen also mit dem Befehl 'seccryptocfg --apply' , um Plattformen zu konfigurieren, die auf FOS v9.2.2 aktualisiert wurden.
ANMERKUNG: Bei der Konfiguration von SSH HostkeyAlgorithms und PubkeyAlgorithms mithilfe von 'seccryptocfg --apply'klicken, wird der SSH-Dienst (in FOS) neu gestartet, um die neue Konfiguration zu laden, und alle vorhandenen SSH-Sitzungen auf dem aktuellen CP sowie auf dem Standby-CP (im Gehäuse) werden beendet.

Beispiel:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.