Dell Networking: OS10 schwacher SSH-RSA-Algorithmus

Summary: Das Problem ist ein schwacher ssh-rsa-Algorithmus, der von nmap auf dem S4148F-ON-Switch von Dell mit Firmware-Version 10.5.6.6 erkannt wurde. Kunden meldeten diese Sicherheitslücke und baten um eine Lösung, um den schwachen Algorithmus zu deaktivieren. Das Sicherheitsteam bestätigte, dass ssh-rsa aus Gründen der Abwärtskompatibilität weiterhin in OpenSSH unterstützt wird, empfahl jedoch, es aus der Standardliste zu entfernen. ...

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

  • Nmap-Scan-Tool erkennt schwachen ssh-rsa-Algorithmus, der verwendet wird
  • Der Kunde kann den OS10-Befehl zum Deaktivieren des Algorithmus nicht finden.

Cause

Die Hauptursache ist das Vorhandensein des Algorithmus ssh-rsa in der Liste der unterstützten Algorithmen des Serverhostschlüssels, der als schwach und anfällig angesehen wird.

Resolution

Korrigierte Version: Die Zielversion für die Korrektur ist 10.6.0.2.

Problemumgehung: Kunden können stärkere Hostschlüsselalgorithmen wie rsa-sha2-512 und ssh-ed25519 verwenden.

Nächste Schritte: Erweitern Sie die IP-SSH-Server-CLI mit der Option HostKeyAlgorithms, um den Standardalgorithmus zu konfigurieren.

Beispielprotokolle

nmap --script ssh2-enum-algos <switch ip address>
Starting Nmap 7.80 ( https://nmap.org ) at 2024-11-25 11:47 IST
Nmap scan report for 100.104.93.82
Host is up (0.0034s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
ssh2-enum-algos: 
  kex_algorithms: (4) curve25519-sha256 curve25519-sha256@libssh.org ecdh-sha2-nistp384 kex-strict-s-v00@openssh.com
  server_host_key_algorithms: (5) ssh-rsa rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ssh-ed25519
  encryption_algorithms: (2) aes256-ctr aes256-gcm@openssh.com
  mac_algorithms: (3) umac-128@openssh.com hmac-sha2-256 hmac-sha2-512
  compression_algorithms: (2) none zlib@openssh.com
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

 

NMAP-Ausgaben bei Verwendung gegenüber einem OS10-Switch:

Befehlszeilen-NMAP-Ausgaben, wenn sie für einen OS10-Switch verwendet werden

Additional Information

Zugehöriger Wissensdatenbank-Artikel 000242118 – So entfernen Sie den SSH-RSA-Hostschlüssel von Dell Switches, die mit OS10-Firmware ausgeführt werden.

Article Properties
Article Number: 000275289
Article Type: Solution
Last Modified: 17 Sept 2025
Version:  2
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.