Connectrix Brocade: SHA1 avskrev innstillingen for SSH-sårbarhet

Summary: SHA1 avskrev innstillingen for SSH-sårbarhet.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

Ingen SHA1-chiffer finnes i seccryptocfg-utdata. Men sikkerhetsskanningen markerer fortsatt dette sikkerhetsproblemet. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

I FOS-versjoner før FOS 9.2.2 bruker RSA SSH hostkey/pubkey en hashingalgoritme (SHA1) som ikke lenger anses som tilstrekkelig sterk og som ofte rapporteres som et potensielt sikkerhetsproblem ved skanningsverktøy (for eksempel Qualys).

Mens brukere kan generere og bruke ECDSA SSH hostkey/pubkey i stedet for RSA, er FOS v9.2.2 forbedret slik at administratoren kan konfigurere SSH HostkeyAlgorithms og PubkeyAlgorithms for SSH-tilkoblinger til/fra FOS og tillate sterkere RSA hostkey/pubkey ved hjelp av kommandoen seccryptocfg.
 

Resolution

Oppgrader svitsjen til FOS 9.2.2.

De kryptografiske malene i FOS v9.2.2 er oppdatert med "HostKeyAlgorithms" og "PubKeyAlgorithms" nøkkeloppføringer under SSH.

Eksempel på plattformer som leveres med FOS v9.2.2 fra fabrikken:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

Så de nye attributtene "HostkeyAlg" og "PubkeyAlg" er tilgjengelige med kommandoen 'seccryptocfg --apply' for å konfigurere plattformer som er oppgradert til FOS v9.2.2.
NOTAT: Når du konfigurerer SSH HostkeyAlgorithms og PubkeyAlgorithms ved hjelp av 'seccryptocfg --apply', startes SSH-tjenesten (i FOS) på nytt for å laste den nye konfigurasjonen, og alle eksisterende SSH-økter på gjeldende CP så vel som på standby CP (i kabinett) vil bli avsluttet.

Eksempel:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.