Connectrix Brocade: Impostazione SHA1 obsoleta per la vulnerabilità SSH

Summary: Impostazione SHA1 obsoleta per la vulnerabilità SSH.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Nell'output seccryptocfg non sono presenti crittografie SHA1. Tuttavia, la scansione della sicurezza contrassegna ancora questa vulnerabilità. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

Nelle versioni FOS precedenti a FOS 9.2.2, la chiave host/pubkey SSH RSA utilizza un algoritmo hash (SHA1) che non è più considerato sufficientemente forte e comunemente segnalato come potenziale vulnerabilità dagli strumenti di scansione (come Qualys).

Sebbene gli utenti possano generare e utilizzare la chiave host/pubkey SSH ECDSA anziché RSA, FOS v9.2.2 è stato migliorato per consentire all'amministratore di configurare SSH HostkeyAlgorithms e PubkeyAlgorithms per le connessioni SSH da/verso FOS e consentire una chiave host/pubkey RSA più forte utilizzando il comando seccryptocfg.
 

Resolution

Aggiornare lo switch a FOS 9.2.2.

I modelli di crittografia in FOS v9.2.2 sono stati aggiornati con le voci chiave "HostKeyAlgorithms" e "PubKeyAlgorithms" in SSH.

Esempio per le piattaforme spedite con FOS v9.2.2 dalla fabbrica:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

Pertanto, i nuovi attributi "HostkeyAlg" e "PubkeyAlg" sono disponibili con il comando 'seccryptocfg --apply' per configurare le piattaforme aggiornate a FOS v9.2.2.
NOTA: Quando si configurano SSH HostkeyAlgorithms e PubkeyAlgorithms utilizzando 'seccryptocfg --apply', il servizio SSH (in FOS) viene riavviato per caricare la nuova configurazione e tutte le sessioni SSH esistenti sul CP corrente e sul CP di standby (nello chassis) verranno terminate.

Esempio:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.