PowerScale: SSH 키 교환 알고리즘이 보안 취약성 스캐너에 의해 플래그 지정됨: diffie-hellman-group1-sha1
Summary: 이 문서에서는 중요하지는 않지만 취약성 검사에서 취약한 암호로 나타날 수 있는 Isilon의 취약성을 해결하는 방법을 설명합니다.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHD 키 교환 알고리즘.
OneFS는 스캐너에 의해 취약점으로 표시된 주요 교환 알고리즘 diffie-hellman-group-exchange-sha1을 활성화했습니다.
취약성 검사 보고서에는 다음과 같은 설명이 나타날 수 있습니다.
취약성: 더 이상 사용되지 않는 SSH 암호화 설정
위협: SSH 프로토콜(Secure Shell)은 한 컴퓨터에서 다른 컴퓨터로 안전하게 원격 로그인하는 방법입니다. 타겟이 더 이상 사용되지 않는 SSH 암호화 설정을 사용하여 통신하고 있습니다.
영향: 메시지 가로채기(man-in-the-middle) 공격자는 이 취약점을 악용하여 세션 키와 메시지의 암호를 해독하기 위한 통신을 기록할 수 있습니다.
솔루션: 사용되지 않는 암호화 설정을 사용하지 마십시오. SSH를 구성할 때는 모범 사례를 활용하십시오.
OneFS는 스캐너에 의해 취약점으로 표시된 주요 교환 알고리즘 diffie-hellman-group-exchange-sha1을 활성화했습니다.
취약성 검사 보고서에는 다음과 같은 설명이 나타날 수 있습니다.
취약성: 더 이상 사용되지 않는 SSH 암호화 설정
위협: SSH 프로토콜(Secure Shell)은 한 컴퓨터에서 다른 컴퓨터로 안전하게 원격 로그인하는 방법입니다. 타겟이 더 이상 사용되지 않는 SSH 암호화 설정을 사용하여 통신하고 있습니다.
영향: 메시지 가로채기(man-in-the-middle) 공격자는 이 취약점을 악용하여 세션 키와 메시지의 암호를 해독하기 위한 통신을 기록할 수 있습니다.
솔루션: 사용되지 않는 암호화 설정을 사용하지 마십시오. SSH를 구성할 때는 모범 사례를 활용하십시오.
Cause
ssh 클라이언트가 동일한 취약한 kex 알고리듬을 사용하여 ssh를 통해 Isilon을 연결하는 경우 클라이언트가 기밀 정보를 노출할 수 있습니다. 이 경우 Isilon/Client의 영향이 적습니다.
우리는 이러한 알고리즘에 취약하거나 영향을 받지 않습니다.
서명 알고리즘을 사용하면 문제가 발생하므로 OneFS 8.1.2는 diffie-hellman-group-exchange-sha1:
SHA1에 취약하거나 영향을 받지 않습니다. TLS에서 사용하는 서명 알고리즘은 RSA를 사용하는 SHA256입니다.
SSH에서는 kex 알고리즘에서 sha1과 함께 diffie-hellman을 사용합니다. 그러나 이러한 알고리즘은 순서가 지정된 기본 설정으로 선택됩니다. SHA2 알고리즘이 목록의 맨 위에 있고 SHA1은 이전 버전과의 호환성을 위해 나열됩니다.
서버와 클라이언트가 협상하고 목록에서 일치하는 항목이 선택됩니다. 따라서 클라이언트가 kex 알고리즘으로 업데이트되면 SHA1이 kex 알고리즘으로 선택되는 diffie-hellman에 대한 추가 문제와 의문의 여지가 없습니다.
Onefs는 최신 버전 (8.2.2 이상)에서 제거했습니다.
우리는 이러한 알고리즘에 취약하거나 영향을 받지 않습니다.
서명 알고리즘을 사용하면 문제가 발생하므로 OneFS 8.1.2는 diffie-hellman-group-exchange-sha1:
SHA1에 취약하거나 영향을 받지 않습니다. TLS에서 사용하는 서명 알고리즘은 RSA를 사용하는 SHA256입니다.
SSH에서는 kex 알고리즘에서 sha1과 함께 diffie-hellman을 사용합니다. 그러나 이러한 알고리즘은 순서가 지정된 기본 설정으로 선택됩니다. SHA2 알고리즘이 목록의 맨 위에 있고 SHA1은 이전 버전과의 호환성을 위해 나열됩니다.
서버와 클라이언트가 협상하고 목록에서 일치하는 항목이 선택됩니다. 따라서 클라이언트가 kex 알고리즘으로 업데이트되면 SHA1이 kex 알고리즘으로 선택되는 diffie-hellman에 대한 추가 문제와 의문의 여지가 없습니다.
Onefs는 최신 버전 (8.2.2 이상)에서 제거했습니다.
Resolution
8.1.2에서 제거해야 하거나 OneFS 8.2.2 이상으로 업그레이드할 수 없는 경우 약한 kex 알고리즘을 제거하는 해결 방법은 다음과 같습니다.Onefs
8.2.2의 kex 알고리즘을 확인하십시오. 이 약한 kex 알고리즘은 제거되었습니다.
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
ssh 구성이 있는 경우 ssh 구성을 수정하여 허용된 kex 알고리즘에서 제거합니다.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
SSHD 서비스 재시작:
# isi_for_array 'killall -HUP sshd'
8.2.2의 kex 알고리즘을 확인하십시오. 이 약한 kex 알고리즘은 제거되었습니다.
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
ssh 구성이 있는 경우 ssh 구성을 수정하여 허용된 kex 알고리즘에서 제거합니다.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
SSHD 서비스 재시작:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.