PowerScale: SSH Key Exchange Algorithm er flagget av sikkerhetssårbarhet skannere: diffie-hellman-group1-sha1
Summary: Denne artikkelen beskriver hvordan du løser dette sikkerhetsproblemet for Isilon, som ikke er kritisk, men som kan vises i sårbarhetsskanninger som en svak chiffer.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHD-nøkkelutvekslingsalgoritmer.
Onefs aktiverte nøkkelutvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er merket som et sikkerhetsproblem av skanneren.
Følgende beskrivelse kan vises i en rapport for sårbarhetsskanning: Sikkerhetsproblem:
Avskrevne kryptografiske innstillinger
for SSHTRUSSEL: SSH-protokollen (Secure Shell) er en metode for sikker ekstern pålogging fra en datamaskin til en annen. Målet bruker avskrevet SSH-kryptografiske innstillinger for å kommunisere.
INNVIRKNING: En mellommann-i-midten-angriper kan utnytte dette sikkerhetsproblemet til å registrere kommunikasjonen for å dekryptere øktnøkkelen og til og med meldingene.
LØSNING: Unngå å bruke avskrevne kryptografiske innstillinger. Bruk anbefalte fremgangsmåter ved konfigurering av SSH.
Onefs aktiverte nøkkelutvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er merket som et sikkerhetsproblem av skanneren.
Følgende beskrivelse kan vises i en rapport for sårbarhetsskanning: Sikkerhetsproblem:
Avskrevne kryptografiske innstillinger
for SSHTRUSSEL: SSH-protokollen (Secure Shell) er en metode for sikker ekstern pålogging fra en datamaskin til en annen. Målet bruker avskrevet SSH-kryptografiske innstillinger for å kommunisere.
INNVIRKNING: En mellommann-i-midten-angriper kan utnytte dette sikkerhetsproblemet til å registrere kommunikasjonen for å dekryptere øktnøkkelen og til og med meldingene.
LØSNING: Unngå å bruke avskrevne kryptografiske innstillinger. Bruk anbefalte fremgangsmåter ved konfigurering av SSH.
Cause
Når ssh-klienten bruker de samme svake kex-algoritmene for å koble Isilon via ssh, kan klienten avsløre sensitiv informasjon. I dette tilfellet er dette mindre påvirkning av Isilon/Client.
Vi er ikke sårbare eller påvirket av disse algoritmene.
Onefs 8.1.2 er ikke sårbar eller påvirket av diffie-hellman-group-exchange-sha1:
SHA1 hvis den brukes som signeringsalgoritme forårsaker et problem. Signaturalgoritmen som brukes av TLS er SHA256 med RSA.
I SSH bruker vi diffie-hellman med sha1 i kex-algoritmen. Men disse algoritmene er valgt i den bestilte preferansen. SHA2-algoritmen finnes øverst på listen, og deretter vises SHA1 for bakoverkompatibilitet.
Server og klient forhandler, og den som samsvarer i listen er valgt. Så hvis klienter holdes oppdatert med kex-algoritmer, vil det ikke være flere problemer og ingen spørsmål om diffie-hellman med SHA1 valgt som kex-algoritme.
Onefs fjernet den i nyeste versjon (8.2.2 ovenfor)
Vi er ikke sårbare eller påvirket av disse algoritmene.
Onefs 8.1.2 er ikke sårbar eller påvirket av diffie-hellman-group-exchange-sha1:
SHA1 hvis den brukes som signeringsalgoritme forårsaker et problem. Signaturalgoritmen som brukes av TLS er SHA256 med RSA.
I SSH bruker vi diffie-hellman med sha1 i kex-algoritmen. Men disse algoritmene er valgt i den bestilte preferansen. SHA2-algoritmen finnes øverst på listen, og deretter vises SHA1 for bakoverkompatibilitet.
Server og klient forhandler, og den som samsvarer i listen er valgt. Så hvis klienter holdes oppdatert med kex-algoritmer, vil det ikke være flere problemer og ingen spørsmål om diffie-hellman med SHA1 valgt som kex-algoritme.
Onefs fjernet den i nyeste versjon (8.2.2 ovenfor)
Resolution
Hvis du må fjerne den fra 8.1.2 eller ikke kan oppgradere til OneFS 8.2.2 eller nyere, er dette løsningen for å fjerne svake kex-algoritmer:
Sjekk kex-algoritmene til Onefs 8.2.2, denne svake kex-algoritmen er fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis det finnes, endrer du ssh-konfigurasjonen for å fjerne den fra tillatte kex-algoritmer.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start SSHD-tjenesten på nytt:
# isi_for_array 'killall-HUP sshd'
Sjekk kex-algoritmene til Onefs 8.2.2, denne svake kex-algoritmen er fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis det finnes, endrer du ssh-konfigurasjonen for å fjerne den fra tillatte kex-algoritmer.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start SSHD-tjenesten på nytt:
# isi_for_array 'killall-HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.