PowerScale:安全性漏洞掃描器會標記 SSH 金鑰交換演算法:diffie-hellman-group1-sha1
Summary: 本文說明如何補救 Isilon 的此漏洞,這並不嚴重,但在漏洞掃描中可能會顯示為弱加密。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHD 金鑰交換演算法。
OneFS 確實啟用了金鑰交換演算法 diffie-hellman-group-exchange-sha1,這被掃描程式標記為漏洞。
漏洞掃描報告中
可能會出現以下描述:漏洞:已過時的 SSH 密碼編譯設定
威脅:SSH 協定(安全外殼)是一種從一台電腦安全遠端登錄到另一台電腦的方法。目標正在使用已棄用的 SSH 加密設置進行通信。
影響:中間人攻擊者可能能夠利用此漏洞記錄通信以解密會話密鑰甚至消息。
解決方案:避免使用已棄用的加密設置。設定 SSH 時,請使用最佳實務。
OneFS 確實啟用了金鑰交換演算法 diffie-hellman-group-exchange-sha1,這被掃描程式標記為漏洞。
漏洞掃描報告中
可能會出現以下描述:漏洞:已過時的 SSH 密碼編譯設定
威脅:SSH 協定(安全外殼)是一種從一台電腦安全遠端登錄到另一台電腦的方法。目標正在使用已棄用的 SSH 加密設置進行通信。
影響:中間人攻擊者可能能夠利用此漏洞記錄通信以解密會話密鑰甚至消息。
解決方案:避免使用已棄用的加密設置。設定 SSH 時,請使用最佳實務。
Cause
當 ssh 用戶端使用相同的弱 kex 演算法透過 ssh 連線 Isilon 時,用戶端可能會暴露敏感資訊。在這種情況下,這受 Isilon/用戶端的影響較小。
我們不受這些演演演算法的攻擊或影響。
Onefs 8.1.2 不易受到 diffie-hellman-group-exchange-sha1:
SHA1 的影響,如果使用的話,因為簽署演算法會導致問題。TLS 使用的簽章演算法是 SHA256 與 RSA。
在SSH中,我們在kex演演演算法中使用帶有sha1的diffie-hellman。但這些演演演算法是在有序首選項中選擇的。SHA2 演算法會顯示在清單最上方,然後列出 SHA1 以達到回溯相容性。
伺服器與用戶端進行協商,並選取清單中相符的伺服器與用戶端。因此,如果用戶端使用kex演演演算法不斷更新,那麼就不會有進一步的問題,也不會有選擇SHA1作為kex演演演算法的diffie-hellman的問題。
Onefs 已將其在最新版本 (8.2.2 以上) 中移除
我們不受這些演演演算法的攻擊或影響。
Onefs 8.1.2 不易受到 diffie-hellman-group-exchange-sha1:
SHA1 的影響,如果使用的話,因為簽署演算法會導致問題。TLS 使用的簽章演算法是 SHA256 與 RSA。
在SSH中,我們在kex演演演算法中使用帶有sha1的diffie-hellman。但這些演演演算法是在有序首選項中選擇的。SHA2 演算法會顯示在清單最上方,然後列出 SHA1 以達到回溯相容性。
伺服器與用戶端進行協商,並選取清單中相符的伺服器與用戶端。因此,如果用戶端使用kex演演演算法不斷更新,那麼就不會有進一步的問題,也不會有選擇SHA1作為kex演演演算法的diffie-hellman的問題。
Onefs 已將其在最新版本 (8.2.2 以上) 中移除
Resolution
如果您需要將其從 8.1.2 移除,或無法升級至 OneFS 8.2.2 或更新版本,這是移除弱 kex 演算法的因應措施:
檢查 Onefs 8.2.2 的 kex 演算法,此弱 kex 演算法已移除:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
如果存在,請修改 ssh 設定以將其從允許的 kex 演算法中移除。
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
重新啟動 SSHD 服務:
# isi_for_array 'killall -HUP sshd'
檢查 Onefs 8.2.2 的 kex 演算法,此弱 kex 演算法已移除:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
如果存在,請修改 ssh 設定以將其從允許的 kex 演算法中移除。
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
重新啟動 SSHD 服務:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.