Connectrix Brocade. Устаревшая настройка SHA1 для уязвимости SSH

Summary: Устаревшая настройка SHA1 для уязвимости SSH.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

В выходных данных seccryptocfg отсутствуют шифры SHA1. Но проверка безопасности по-прежнему отмечает эту уязвимость. 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

В версиях FOS, предшествующих FOS 9.2.2, ключ хоста/pubkey RSA SSH использует алгоритм хэширования (SHA1), который больше не считается достаточно надежным и обычно отображается как потенциальная уязвимость средствами сканирования (такими как Qualys).

Хотя пользователи могут создавать и использовать ключ хоста/pubkey SSH ECDSA вместо RSA, версия FOS 9.2.2 улучшена и теперь позволяет администратору настраивать алгоритмы SSH HostkeyAlgorithms и PubkeyAlgorithms для подключений SSH к FOS и от него, а также разрешать более надежный ключ хоста/pubkey RSA с помощью команды seccryptocfg.
 

Resolution

Модернизируйте коммутатор до версии FOS 9.2.2.

Криптографические шаблоны в FOS v9.2.2 обновлены записями ключей «HostKeyAlgorithms» и «PubKeyAlgorithms» в SSH.

Пример для платформ, поставляемых с FOS v9.2.2 с завода:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

Таким образом, новые атрибуты "HostkeyAlg" и "PubkeyAlg" доступны с помощью команды 'seccryptocfg --apply' для настройки платформ, обновленных до версии FOS v9.2.2.
ЗАМЕТКА: При настройке SSH HostkeyAlgorithms и PubkeyAlgorithms с помощью 'seccryptocfg --apply', служба SSH (в FOS) перезапускается для загрузки новой конфигурации, и все существующие сеансы SSH на текущем CP, а также на резервном CP (в корпусе) будут завершены.

Пример:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.