PowerScale: O algoritmo de troca de chaves SSH é sinalizado pelos scanners de vulnerabilidade de segurança: diffie-hellman-group1-sha1
Summary: Este artigo descreve como corrigir essa vulnerabilidade no Isilon, que não é crítica, mas pode aparecer em verificações de vulnerabilidade como uma cifra fraca.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Algoritmos de troca de chaves SSHD.
O Onefs habilitou algoritmos de troca de chaves diffie-hellman-group-exchange-sha1, que é marcado como uma vulnerabilidade pelo scanner.
A seguinte descrição pode aparecer em um relatório de verificação de vulnerabilidade:
Vulnerabilidade: Configurações
criptográficas SSH obsoletasAMEAÇA: O protocolo SSH (Secure Shell) é um método de log-in remoto seguro de um computador para outro. O destino está usando configurações criptográficas SSH obsoletas para se comunicar.
IMPACTO: Um invasor intermediário pode explorar essa vulnerabilidade para gravar a comunicação e descriptografar a chave da sessão e até mesmo as mensagens.
SOLUÇÃO: Evite usar configurações criptográficas obsoletas. Use as práticas recomendadas ao configurar o SSH.
O Onefs habilitou algoritmos de troca de chaves diffie-hellman-group-exchange-sha1, que é marcado como uma vulnerabilidade pelo scanner.
A seguinte descrição pode aparecer em um relatório de verificação de vulnerabilidade:
Vulnerabilidade: Configurações
criptográficas SSH obsoletasAMEAÇA: O protocolo SSH (Secure Shell) é um método de log-in remoto seguro de um computador para outro. O destino está usando configurações criptográficas SSH obsoletas para se comunicar.
IMPACTO: Um invasor intermediário pode explorar essa vulnerabilidade para gravar a comunicação e descriptografar a chave da sessão e até mesmo as mensagens.
SOLUÇÃO: Evite usar configurações criptográficas obsoletas. Use as práticas recomendadas ao configurar o SSH.
Cause
Quando o client ssh usa os mesmos algoritmos kex fracos para conectar o Isilon via ssh, o client pode expor informações confidenciais. Nesse caso, isso é menos impacto do Isilon/Client.
Não somos vulneráveis ou afetados por esses algoritmos.
O Onefs 8.1.2 não é vulnerável ou afetado por diffie-hellman-group-exchange-sha1:
SHA1 se usado como algoritmo de assinatura causa um problema. O algoritmo de assinatura que está sendo usado pelo TLS é SHA256 com RSA.
Em SSH usamos diffie-hellman com sha1 no algoritmo kex. Mas esses algoritmos são selecionados na preferência ordenada. O algoritmo SHA2 está presente na parte superior da lista e, em seguida, os SHA1 são listados para compatibilidade reversa.
Servidor e client negociam e o que corresponde na lista é selecionado. Então, se os clientes forem mantidos atualizados com algoritmos kex, então não haverá mais problemas e nenhuma questão de diffie-hellman com SHA1 sendo selecionado como algoritmo kex.
O Onefs removeu-o na versão mais recente (8.2.2 acima)
Não somos vulneráveis ou afetados por esses algoritmos.
O Onefs 8.1.2 não é vulnerável ou afetado por diffie-hellman-group-exchange-sha1:
SHA1 se usado como algoritmo de assinatura causa um problema. O algoritmo de assinatura que está sendo usado pelo TLS é SHA256 com RSA.
Em SSH usamos diffie-hellman com sha1 no algoritmo kex. Mas esses algoritmos são selecionados na preferência ordenada. O algoritmo SHA2 está presente na parte superior da lista e, em seguida, os SHA1 são listados para compatibilidade reversa.
Servidor e client negociam e o que corresponde na lista é selecionado. Então, se os clientes forem mantidos atualizados com algoritmos kex, então não haverá mais problemas e nenhuma questão de diffie-hellman com SHA1 sendo selecionado como algoritmo kex.
O Onefs removeu-o na versão mais recente (8.2.2 acima)
Resolution
Se você precisar removê-lo da versão 8.1.2 ou não puder fazer upgrade para o OneFS 8.2.2 ou posterior, esta é a solução temporária para remover algoritmos kex fracos:
Verifique os algoritmos kex do Onefs 8.2.2, esse algoritmo kex fraco foi removido:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se houver, modifique a configuração ssh para removê-la dos algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie o serviço SSHD:
# isi_for_array 'killall -HUP sshd'
Verifique os algoritmos kex do Onefs 8.2.2, esse algoritmo kex fraco foi removido:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se houver, modifique a configuração ssh para removê-la dos algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie o serviço SSHD:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.