Connectrix Brocade:SHA1 已淘汰 SSH 漏洞的設定

Summary: SHA1 已淘汰 SSH 漏洞的設定。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

seccryptocfg 輸出中不存在 SHA1 密碼。但是安全掃描仍然標誌著這個漏洞。 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

在 FOS 9.2.2 之前的 FOS 版本中,RSA SSH hostkey/pubkey 使用雜湊演算法 (SHA1),該演算法不再被認為足夠強大,並且通常會被掃描工具 (例如 Qualys) 報告為潛在漏洞。

雖然使用者可以產生和使用 ECDSA SSH 主機金鑰/pubkey 而非 RSA,但 FOS v9.2.2 已增強,允許管理員為往返 FOS 的 SSH 連線設定 SSH HostkeyAlgorithms 和 PubkeyAlgorithms,並使用命令 seccryptocfg,允許更強大的 RSA hostkey/pubkey。
 

Resolution

將交換器升級至 FOS 9.2.2。

在 FOS v9.2.2 中的密碼編譯範本在 SSH 下更新為「HostKeyAlgorithms」和「PubKeyAlgorithms」金鑰項目。

原廠出貨時隨附 FOS v9.2.2 的平台範例:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

所以新屬性「HostkeyAlg」和「PubkeyAlg」可透過命令使用 'seccryptocfg --apply' 設定升級至 FOS v9.2.2 的平台。
便條:在使用 'seccryptocfg --apply',則會重新啟動 SSH 服務 (在 FOS 中) 以載入新組態,並終止目前 CP 以及待機 CP (機箱中) 上的所有現有 SSH 工作階段。

範例:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.