PowerScale : L’algorithme d’échange de clés SSH est signalé par les analyseurs de failles de sécurité : diffie-hellman-group1-sha1
Summary: Cet article explique comment corriger cette vulnérabilité pour Isilon, qui n’est pas critique, mais peut apparaître dans les analyses de vulnérabilité comme un chiffrement faible.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Algorithmes d’échange de clés SSHD.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Cause
Lorsque le client ssh utilise les mêmes algorithmes kex faibles pour connecter Isilon via ssh, le client peut exposer des informations sensibles. Dans ce cas, il s’agit d’un impact moindre d’Isilon/Client.
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Resolution
Si vous devez le supprimer de la version 8.1.2 ou si vous ne pouvez pas effectuer la mise à niveau vers OneFS 8.2.2 ou une version ultérieure, voici la solution de contournement pour supprimer les algorithmes kex faibles :
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.