Connectrix Brocade: SHA1 vanhentunut SSH-haavoittuvuuden asetus

Summary: SHA1 vanhentunut SSH-haavoittuvuuden asetus.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Seccryptocfg-lähdössä ei ole SHA1-salauksia. Mutta tietoturvatarkistus merkitsee silti tätä haavoittuvuutta. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

FOS 9.2.2:ta vanhemmissa FOS-versioissa RSA SSH hostkey/pubkey käyttää hajautusalgoritmia (SHA1), jota ei enää pidetä riittävän vahvana ja josta skannaustyökalut (kuten Qualys) ilmoittavat yleisesti mahdollisena haavoittuvuutena.

Vaikka käyttäjät voivat luoda ja käyttää ECDSA SSH hostkey/pubkey -avainta RSA:n sijaan, FOS 9.2.2:ta on parannettu niin, että järjestelmänvalvoja voi määrittää SSH HostkeyAlgorithms ja PubkeyAlgorithms SSH-yhteyksille FOS:iin tai FOS:sta ja sallia vahvemman RSA-isäntäavaimen/pubkeyn komennolla seccryptocfg.
 

Resolution

Päivitä kytkin FOS 9.2.2:een.

FOS 9.2.2:n salausmalleihin on päivitetty SSH-kohdassa avainmerkinnät "HostKeyAlgorithms" ja "PubKeyAlgorithms".

Esimerkki ympäristöistä, joissa on tehtaalla FOS 9.2.2 -versio:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

Joten uudet määritteet "HostkeyAlg" ja "PubkeyAlg" ovat käytettävissä komennolla 'seccryptocfg --apply' konfiguroidaksesi alustat, jotka on päivitetty versioon FOS 9.2.2.
MUISTIINPANO: Kun SSH-isäntäavainalgoritmeja ja PubkeyAlgorithmeja määritetään käyttämällä 'seccryptocfg --apply', SSH-palvelu (FOS:ssa) käynnistetään uudelleen uuden määrityksen lataamiseksi, ja kaikki nykyiset SSH-istunnot nykyisessä CP:ssä sekä valmiustilassa olevassa CP:ssä (kotelossa) lopetetaan.

Esimerkki:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.