PowerScale:SSHキー交換アルゴリズムにセキュリティ脆弱性スキャナーによってフラグが設定されています:diffie-hellman-group1-sha1
Summary: この記事では、Isilonのこの脆弱性を修正する方法について説明します。これは重大ではありませんが、脆弱性スキャンでは弱い暗号として表示される場合があります。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHDキー交換アルゴリズム。
OneFSでは、キー交換アルゴリズムdiffie-hellman-group-exchange-sha1が有効になっていましたが、これはスキャナーによって脆弱性としてマークされています。
脆弱性スキャン レポートには、次の説明が表示される場合があります。
脆弱性: 廃止されたSSH暗号形式設定
の脅威: SSHプロトコル(Secure Shell)は、あるコンピューターから別のコンピューターに安全にリモートログインする方法です。ターゲットは、非推奨のSSH暗号形式設定を使用して通信しています。
影響:中間者攻撃者は、この脆弱性を悪用して通信を記録し、セッションキーやメッセージを復号化できる可能性があります。
ソリューション:非推奨の暗号化設定は使用しないでください。SSHを構成する場合は、ベスト プラクティスを使用します。
OneFSでは、キー交換アルゴリズムdiffie-hellman-group-exchange-sha1が有効になっていましたが、これはスキャナーによって脆弱性としてマークされています。
脆弱性スキャン レポートには、次の説明が表示される場合があります。
脆弱性: 廃止されたSSH暗号形式設定
の脅威: SSHプロトコル(Secure Shell)は、あるコンピューターから別のコンピューターに安全にリモートログインする方法です。ターゲットは、非推奨のSSH暗号形式設定を使用して通信しています。
影響:中間者攻撃者は、この脆弱性を悪用して通信を記録し、セッションキーやメッセージを復号化できる可能性があります。
ソリューション:非推奨の暗号化設定は使用しないでください。SSHを構成する場合は、ベスト プラクティスを使用します。
Cause
sshクライアントが同じ弱いkexアルゴリズムを使用してssh経由でIsilonに接続すると、クライアントは機密情報を漏洩する可能性があります。この場合、これはIsilon/クライアントの影響が小さくなります。
私たちは、これらのアルゴリズムによって脆弱になったり、影響を受けたりすることはありません。
OneFS 8.1.2は、署名アルゴリズムとして使用すると問題が発生する場合、脆弱ではなく、diffie-hellman-group-exchange-sha1:
SHA1の影響を受けません。TLSで使用されている署名アルゴリズムは、RSAを使用したSHA256です。
SSH では、kex アルゴリズムで sha1 で diffie-hellman を使用します。ただし、これらのアルゴリズムは順序付けされた設定で選択されます。SHA2アルゴリズムがリストの一番上に表示され、SHA1は下位互換性のためにリストされています。
サーバーとクライアントがネゴシエートし、リスト内で一致するものが選択されます。したがって、クライアントが kex アルゴリズムで更新され続けていれば、それ以上の問題はなく、SHA1 が kex アルゴリズムとして選択された diffie-hellman の問題もありません。
OneFSは最新バージョン(上記の8.2.2)でこれを削除しました
私たちは、これらのアルゴリズムによって脆弱になったり、影響を受けたりすることはありません。
OneFS 8.1.2は、署名アルゴリズムとして使用すると問題が発生する場合、脆弱ではなく、diffie-hellman-group-exchange-sha1:
SHA1の影響を受けません。TLSで使用されている署名アルゴリズムは、RSAを使用したSHA256です。
SSH では、kex アルゴリズムで sha1 で diffie-hellman を使用します。ただし、これらのアルゴリズムは順序付けされた設定で選択されます。SHA2アルゴリズムがリストの一番上に表示され、SHA1は下位互換性のためにリストされています。
サーバーとクライアントがネゴシエートし、リスト内で一致するものが選択されます。したがって、クライアントが kex アルゴリズムで更新され続けていれば、それ以上の問題はなく、SHA1 が kex アルゴリズムとして選択された diffie-hellman の問題もありません。
OneFSは最新バージョン(上記の8.2.2)でこれを削除しました
Resolution
8.1.2から削除する必要がある場合、またはOneFS 8.2.2以降にアップグレードできない場合、これは弱いkexアルゴリズムを削除するための回避策です:
Onefs 8.2.2のkexアルゴリズムを確認します。この弱いkexアルゴリズムは削除されています:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
存在する場合は、ssh設定を変更して、許可されているkexアルゴリズムから削除します。
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
SSHDサービスを再起動します:
# isi_for_array 'killall -HUP sshd'
Onefs 8.2.2のkexアルゴリズムを確認します。この弱いkexアルゴリズムは削除されています:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
存在する場合は、ssh設定を変更して、許可されているkexアルゴリズムから削除します。
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
SSHDサービスを再起動します:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.