PowerScale: Der SSH-Schlüsselaustauschalgorithmus wird von Sicherheitslückenscannern markiert: diffie-hellman-group1-sha1
Summary: In diesem Artikel wird beschrieben, wie Sie diese Sicherheitslücke für Isilon beheben können, die zwar nicht kritisch ist, aber bei Sicherheitsüberprüfungen möglicherweise als schwache Verschlüsselung angezeigt wird. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHD-Schlüsselaustauschalgorithmen.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Cause
Wenn der SSH-Client dieselben schwachen KEX-Algorithmen verwendet, um Isilon über SSH zu verbinden, kann der Client vertrauliche Informationen preisgeben. In diesem Fall sind die Auswirkungen von Isilon/Client geringer.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Resolution
Wenn Sie es aus 8.1.2 entfernen müssen oder kein Upgrade auf OneFS 8.2.2 oder höher durchführen können, ist dies die Problemumgehung, um schwache KEX-Algorithmen zu entfernen:
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.