PowerScale: SSH Key Exchange Algorithm is gemarkeerd door security vulnerability scanners: diffie-hellman-group1-sha1
Summary: In dit artikel wordt beschreven hoe u dit beveiligingslek kunt verhelpen voor Isilon. Dit is niet kritiek, maar kan in kwetsbaarheidsscans worden weergegeven als een zwakke codering.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Algoritmen voor het uitwisselen van SSHD-sleutels.
Onefs heeft sleuteluitwisselingsalgoritmen diffie-hellman-group-exchange-sha1 ingeschakeld, wat door de scanner als een kwetsbaarheid is gemarkeerd.
De volgende beschrijving kan worden weergegeven in een beveiligingsscanrapport:
Beveiligingslek: Afgeschafte SSH cryptografische instellingen
BEDREIGING: Het SSH-protocol (Secure Shell) is een methode om veilig op afstand in te loggen van de ene computer naar de andere. Het doel gebruikt verouderde cryptografische SSH-instellingen om te communiceren.
IMPACT: Een man-in-the-middle-aanvaller kan dit beveiligingslek misbruiken om de communicatie op te nemen om de sessiesleutel en zelfs de berichten te ontsleutelen.
OPLOSSING: Vermijd het gebruik van verouderde cryptografische instellingen. Gebruik de best practices bij het configureren van SSH.
Onefs heeft sleuteluitwisselingsalgoritmen diffie-hellman-group-exchange-sha1 ingeschakeld, wat door de scanner als een kwetsbaarheid is gemarkeerd.
De volgende beschrijving kan worden weergegeven in een beveiligingsscanrapport:
Beveiligingslek: Afgeschafte SSH cryptografische instellingen
BEDREIGING: Het SSH-protocol (Secure Shell) is een methode om veilig op afstand in te loggen van de ene computer naar de andere. Het doel gebruikt verouderde cryptografische SSH-instellingen om te communiceren.
IMPACT: Een man-in-the-middle-aanvaller kan dit beveiligingslek misbruiken om de communicatie op te nemen om de sessiesleutel en zelfs de berichten te ontsleutelen.
OPLOSSING: Vermijd het gebruik van verouderde cryptografische instellingen. Gebruik de best practices bij het configureren van SSH.
Cause
Wanneer de ssh-client dezelfde zwakke kex-algoritmen gebruikt om Isilon via ssh te verbinden, kan de client gevoelige informatie vrijgeven. In dit geval is dit minder impact van Isilon/Client.
We zijn niet kwetsbaar of beïnvloed door deze algoritmen.
Onefs 8.1.2 is niet kwetsbaar of wordt niet beïnvloed door diffie-hellman-group-exchange-sha1:
SHA1 indien gebruikt omdat het ondertekeningsalgoritme een probleem veroorzaakt. Het handtekeningalgoritme dat door TLS wordt gebruikt, is SHA256 met RSA.
In SSH gebruiken we diffie-hellman met sha1 in het kex-algoritme. Maar die algoritmen worden geselecteerd in de geordende voorkeur. Het SHA2-algoritme staat bovenaan de lijst en vervolgens wordt SHA1 vermeld voor achterwaartse compatibiliteit.
Server en client onderhandelen en degene die overeenkomt in de lijst wordt geselecteerd. Dus als klanten op de hoogte worden gehouden met kex-algoritmen, dan zullen er geen verdere problemen zijn en is er geen sprake van diffie-hellman met SHA1 die als kex-algoritme wordt geselecteerd.
Onefs heeft het verwijderd in de nieuwste versie (8.2.2 hierboven)
We zijn niet kwetsbaar of beïnvloed door deze algoritmen.
Onefs 8.1.2 is niet kwetsbaar of wordt niet beïnvloed door diffie-hellman-group-exchange-sha1:
SHA1 indien gebruikt omdat het ondertekeningsalgoritme een probleem veroorzaakt. Het handtekeningalgoritme dat door TLS wordt gebruikt, is SHA256 met RSA.
In SSH gebruiken we diffie-hellman met sha1 in het kex-algoritme. Maar die algoritmen worden geselecteerd in de geordende voorkeur. Het SHA2-algoritme staat bovenaan de lijst en vervolgens wordt SHA1 vermeld voor achterwaartse compatibiliteit.
Server en client onderhandelen en degene die overeenkomt in de lijst wordt geselecteerd. Dus als klanten op de hoogte worden gehouden met kex-algoritmen, dan zullen er geen verdere problemen zijn en is er geen sprake van diffie-hellman met SHA1 die als kex-algoritme wordt geselecteerd.
Onefs heeft het verwijderd in de nieuwste versie (8.2.2 hierboven)
Resolution
Als u het moet verwijderen van 8.1.2 of niet kunt upgraden naar OneFS 8.2.2 of hoger, is dit de tijdelijke oplossing om zwakke kex-algoritmen te verwijderen:
Controleer de kex-algoritmen van Onefs 8.2.2, dit zwakke kex-algoritme is verwijderd:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Wijzig indien aanwezig de ssh-configuratie om deze te verwijderen uit de toegestane kex-algoritmen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start de SSHD-service opnieuw:
# isi_for_array 'killall -HUP sshd'
Controleer de kex-algoritmen van Onefs 8.2.2, dit zwakke kex-algoritme is verwijderd:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Wijzig indien aanwezig de ssh-configuratie om deze te verwijderen uit de toegestane kex-algoritmen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start de SSHD-service opnieuw:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.