PowerScale: SSH-avaimenvaihtoalgoritmi on merkitty tietoturvan haavoittuvuusskannereilla: diffie-hellman-group1-sha1
Summary: Tässä artikkelissa kuvataan, miten korjataan tämä Isilon-haavoittuvuus, joka ei ole kriittinen, mutta saattaa näkyä heikkona salauksena.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHD-avainten vaihtoalgoritmit.
Onefs otti käyttöön avaintenvaihtoalgoritmit diffie-hellman-group-exchange-sha1, jonka skanneri on merkinnyt haavoittuvuudeksi.
Seuraava kuvaus saattaa näkyä haavoittuvuustarkistusraportissa:
Haavoittuvuus: Vanhentuneet SSH-salausasetukset
UHKA: SSH-protokolla (Secure Shell) on menetelmä turvalliseen etäkirjautumiseen tietokoneesta toiseen. Kohde käyttää vanhentuneet SSH-salausasetukset viestintään.
VAIKUTUS: Mies välissä -hyökkääjä saattaa pystyä hyödyntämään tätä haavoittuvuutta tallentaakseen tietoliikenteen istuntoavaimen ja jopa viestien salauksen purkamiseksi.
RATKAISU: Älä käytä vanhentuneita salausasetuksia. Käytä parhaita käytäntöjä määrittäessäsi SSH:ta.
Onefs otti käyttöön avaintenvaihtoalgoritmit diffie-hellman-group-exchange-sha1, jonka skanneri on merkinnyt haavoittuvuudeksi.
Seuraava kuvaus saattaa näkyä haavoittuvuustarkistusraportissa:
Haavoittuvuus: Vanhentuneet SSH-salausasetukset
UHKA: SSH-protokolla (Secure Shell) on menetelmä turvalliseen etäkirjautumiseen tietokoneesta toiseen. Kohde käyttää vanhentuneet SSH-salausasetukset viestintään.
VAIKUTUS: Mies välissä -hyökkääjä saattaa pystyä hyödyntämään tätä haavoittuvuutta tallentaakseen tietoliikenteen istuntoavaimen ja jopa viestien salauksen purkamiseksi.
RATKAISU: Älä käytä vanhentuneita salausasetuksia. Käytä parhaita käytäntöjä määrittäessäsi SSH:ta.
Cause
Kun ssh-asiakas käyttää samoja heikkoja keks-algoritmeja yhdistääkseen Isilonin ssh:n kautta, asiakas saattaa paljastaa arkaluonteisia tietoja. Tässä tapauksessa Isilonin/Clientin vaikutus on pienempi.
Nämä algoritmit eivät vaikuta meihin.
Diffie-hellman-group-exchange-sha1:
SHA1 ei vaikuta Onefs 8.1.2:een, jos sitä käytetään allekirjoitusalgoritmina, joka aiheuttaa ongelman. TLS:n käyttämä allekirjoitusalgoritmi on SHA256 ja RSA.
SSH: ssa käytämme diffie-hellmania sha1: n kanssa kex -algoritmissa. Mutta nämä algoritmit valitaan järjestyksessä. SHA2-algoritmi on luettelon yläosassa, ja sitten SHA1 on lueteltu taaksepäin yhteensopivuuden vuoksi.
Palvelin ja asiakas neuvottelevat ja luettelossa oleva vaihtoehto valitaan. Joten jos asiakkaita päivitetään kex-algoritmeilla, ei ole enää ongelmia eikä kysymys siitä, että diffie-hellman SHA1: n kanssa valitaan kex -algoritmiksi.
Onefs poisti sen uusimmassa versiossa (8.2.2 yllä)
Nämä algoritmit eivät vaikuta meihin.
Diffie-hellman-group-exchange-sha1:
SHA1 ei vaikuta Onefs 8.1.2:een, jos sitä käytetään allekirjoitusalgoritmina, joka aiheuttaa ongelman. TLS:n käyttämä allekirjoitusalgoritmi on SHA256 ja RSA.
SSH: ssa käytämme diffie-hellmania sha1: n kanssa kex -algoritmissa. Mutta nämä algoritmit valitaan järjestyksessä. SHA2-algoritmi on luettelon yläosassa, ja sitten SHA1 on lueteltu taaksepäin yhteensopivuuden vuoksi.
Palvelin ja asiakas neuvottelevat ja luettelossa oleva vaihtoehto valitaan. Joten jos asiakkaita päivitetään kex-algoritmeilla, ei ole enää ongelmia eikä kysymys siitä, että diffie-hellman SHA1: n kanssa valitaan kex -algoritmiksi.
Onefs poisti sen uusimmassa versiossa (8.2.2 yllä)
Resolution
Jos se on poistettava versiosta 8.1.2 tai sitä ei voi päivittää OneFS 8.2.2 -versioon tai uudempaan, voit kiertää heikot kex-algoritmit seuraavasti:
Tarkista Onefs 8.2.2:n kex-algoritmit, tämä heikko kex-algoritmi on poistettu:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jos sellainen on, muokkaa ssh-kokoonpanoa poistaaksesi sen sallituista kex-algoritmeista.
# isi ssh modify --kex-algorithms=käyrä25519-sha256,käyrä25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Käynnistä SSHD-palvelu uudelleen:
# isi_for_array 'killall -HUP sshd'
Tarkista Onefs 8.2.2:n kex-algoritmit, tämä heikko kex-algoritmi on poistettu:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jos sellainen on, muokkaa ssh-kokoonpanoa poistaaksesi sen sallituista kex-algoritmeista.
# isi ssh modify --kex-algorithms=käyrä25519-sha256,käyrä25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Käynnistä SSHD-palvelu uudelleen:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.