Connectrix Brocade:针对 SSH 漏洞的 SHA1 设置已弃用

Summary: 针对 SSH 漏洞的 SHA1 设置已弃用。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

seccryptocfg 输出中不存在 SHA1 密码。但安全扫描仍然标记了此漏洞。 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

在 FOS 9.2.2 之前的 FOS 版本中,RSA SSH 主机密钥/公钥使用哈希算法 (SHA1),该算法不再被视为足够强大,通常被扫描工具(如 Qualys)报告为潜在漏洞。

虽然用户可以生成和使用 ECDSA SSH 主机密钥/公钥而不是 RSA,但 FOS v9.2.2 得到了增强,允许管理员为进出 FOS 的 SSH 连接配置 SSH HostkeyAlgorithms 和 PubkeyAlgorithms,并使用命令 seccryptocfg 允许更强大的 RSA 主机密钥/公钥。
 

Resolution

将交换机升级到 FOS 9.2.2。

FOS v9.2.2 中的加密模板在 SSH 下更新为“HostKeyAlgorithms”和“PubKeyAlgorithms”密钥条目。

出厂时附带 FOS v9.2.2 的平台示例:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

因此,新属性“HostkeyAlg”和“PubkeyAlg”随命令提供 'seccryptocfg --apply' 配置升级到 FOS v9.2.2 的平台。
注意:使用 配置 SSH、HostkeyAlgorithms 和 PubkeyAlgorithms 时 'seccryptocfg --apply'时,将重新启动 SSH 服务(在 FOS 中)以加载新配置,并且当前 CP 以及备用 CP(在机箱中)上的所有现有 SSH 会话都将终止。

示例:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.