PowerScale: SSH Key Exchange Algorithm markeres af sikkerhedssårbarhedsscannere: diffie-hellman-group1-sha1
Summary: I denne artikel beskrives, hvordan du afhjælper denne svaghed i Isilon, som ikke er kritisk, men som kan forekomme i scanninger af sikkerhedsrisici som en svag kode.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHD-nøgleudvekslingsalgoritmer.
Onefs aktiverede nøgleudvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er markeret som en sårbarhed af scanneren.
Følgende beskrivelse vises muligvis i en rapport over scanning efter sikkerhedsrisici:
Sikkerhedsrisiko: Udfasede SSH-kryptografiske indstillinger
TRUSSEL: SSH-protokollen (Secure Shell) er en metode til sikker fjernlogin fra en computer til en anden. Målet bruger forældede SSH-kryptografiske indstillinger til at kommunikere.
INDVIRKNING: En man-in-the-middle-angriber kan muligvis udnytte denne sårbarhed til at registrere kommunikationen for at dekryptere sessionsnøglen og endda meddelelserne.
LØSNING: Undgå at bruge forældede kryptografiske indstillinger. Brug bedste praksis ved konfiguration af SSH.
Onefs aktiverede nøgleudvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er markeret som en sårbarhed af scanneren.
Følgende beskrivelse vises muligvis i en rapport over scanning efter sikkerhedsrisici:
Sikkerhedsrisiko: Udfasede SSH-kryptografiske indstillinger
TRUSSEL: SSH-protokollen (Secure Shell) er en metode til sikker fjernlogin fra en computer til en anden. Målet bruger forældede SSH-kryptografiske indstillinger til at kommunikere.
INDVIRKNING: En man-in-the-middle-angriber kan muligvis udnytte denne sårbarhed til at registrere kommunikationen for at dekryptere sessionsnøglen og endda meddelelserne.
LØSNING: Undgå at bruge forældede kryptografiske indstillinger. Brug bedste praksis ved konfiguration af SSH.
Cause
Når ssh-klienten bruger de samme svage kex-algoritmer til at forbinde Isilon via ssh, kan klienten eksponere følsomme oplysninger. I dette tilfælde påvirker dette Isilon/klienten mindre.
Vi er ikke sårbare eller påvirket af disse algoritmer.
Onefs 8.1.2 er ikke sårbar eller påvirket af diffie-hellman-group-exchange-sha1:SHA1,
hvis den bruges, da signeringsalgoritmen forårsager et problem. Signaturalgoritmen, der bruges af TLS, er SHA256 med RSA.
I SSH bruger vi diffie-hellman med sha1 i kex-algoritme. Men disse algoritmer vælges i den ordnede præference. SHA2-algoritmen findes øverst på listen, og derefter vises SHA1 for bagudkompatibilitet.
Server og klient forhandler, og den, der matcher på listen, vælges. Så hvis klienter holdes opdateret med kex-algoritmer, vil der ikke være yderligere problemer og intet spørgsmål om, at diffie-hellman med SHA1 vælges som kex-algoritme.
Onefs fjernet det i seneste version (8.2.2 ovenfor)
Vi er ikke sårbare eller påvirket af disse algoritmer.
Onefs 8.1.2 er ikke sårbar eller påvirket af diffie-hellman-group-exchange-sha1:SHA1,
hvis den bruges, da signeringsalgoritmen forårsager et problem. Signaturalgoritmen, der bruges af TLS, er SHA256 med RSA.
I SSH bruger vi diffie-hellman med sha1 i kex-algoritme. Men disse algoritmer vælges i den ordnede præference. SHA2-algoritmen findes øverst på listen, og derefter vises SHA1 for bagudkompatibilitet.
Server og klient forhandler, og den, der matcher på listen, vælges. Så hvis klienter holdes opdateret med kex-algoritmer, vil der ikke være yderligere problemer og intet spørgsmål om, at diffie-hellman med SHA1 vælges som kex-algoritme.
Onefs fjernet det i seneste version (8.2.2 ovenfor)
Resolution
Hvis du har brug for at fjerne det fra 8.1.2 eller ikke kan opgradere til OneFS 8.2.2 eller nyere, er dette løsningen til at fjerne svage kex-algoritmer:
Kontroller kex-algoritmer i Onefs 8.2.2, denne svage kex-algoritme er blevet fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis den findes, skal du ændre ssh-konfigurationen for at fjerne den fra kex-algoritmer tilladt.
# isi ssh ændre --kex-algoritmer = curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Genstart SSHD-tjenesten:
# isi_for_array 'killall -HUP sshd'
Kontroller kex-algoritmer i Onefs 8.2.2, denne svage kex-algoritme er blevet fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis den findes, skal du ændre ssh-konfigurationen for at fjerne den fra kex-algoritmer tilladt.
# isi ssh ændre --kex-algoritmer = curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Genstart SSHD-tjenesten:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.