Connectrix Brocade: Configuración obsoleta de SHA1 para una vulnerabilidad de SSH

Summary: Configuración obsoleta de SHA1 para una vulnerabilidad de SSH.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

No hay cifrados SHA1 presentes en el resultado de seccryptocfg. Pero el escaneo de seguridad aún marca esta vulnerabilidad. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

En las versiones de FOS anteriores a FOS 9.2.2, la clave de host/pubkey SSH de RSA utiliza un algoritmo hash (SHA1) que ya no se considera adecuadamente sólido y que las herramientas de escaneo (como Qualys) suelen informar como una vulnerabilidad potencial.

Si bien los usuarios pueden generar y utilizar la clave de host/pubkey SSH de ECDSA en lugar de RSA, FOS v9.2.2 se mejoró para permitir que el administrador configure HostkeyAlgorithms y PubkeyAlgorithms de SSH para las conexiones SSH hacia/desde FOS y permitir una clave de host/pubkey de RSA más sólida mediante el comando seccryptocfg.
 

Resolution

Actualice el switch a FOS 9.2.2.

Las plantillas criptográficas en FOS v9.2.2 se actualizan con entradas de clave "HostKeyAlgorithms" y "PubKeyAlgorithms" en SSH.

Ejemplo de plataformas que se envían con FOS v9.2.2 de fábrica:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

Por lo tanto, los nuevos atributos "HostkeyAlg" y "PubkeyAlg" están disponibles con el comando 'seccryptocfg --apply' para configurar plataformas actualizadas a FOS v9.2.2.
NOTA: Cuando configure HostkeyAlgorithms y PubkeyAlgorithms de SSH mediante 'seccryptocfg --apply', el servicio SSH (en FOS) se reinicia para cargar la nueva configuración y se finalizarán todas las sesiones SSH existentes en el CP actual, así como en el CP en espera (en el chasis).

Ejemplo:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.