PowerScale:安全漏洞扫描程序标记了 SSH 密钥交换算法:diffie-hellman-group1-sha1
Summary: 本文介绍如何修复 Isilon 的此漏洞,该漏洞并不严重,但在漏洞扫描中可能显示为弱密码。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHD 密钥交换算法。
Onefs 确实启用了密钥交换算法 diffie-hellman-group-exchange-sha1,该算法被扫描程序标记为漏洞。
漏洞扫描报告中可能会显示以下描述:
Vulnerability:弃用的 SSH 加密设置
威胁:SSH 协议 (Secure Shell) 是一种从一台计算机到另一台计算机进行安全远程登录的方法。目标使用已弃用的 SSH 加密设置进行通信。
影响:中间人攻击者可能会利用此漏洞记录通信,从而解密会话密钥甚至消息。
解决 方案:避免使用已弃用的加密设置。配置 SSH 时使用最佳实践。
Onefs 确实启用了密钥交换算法 diffie-hellman-group-exchange-sha1,该算法被扫描程序标记为漏洞。
漏洞扫描报告中可能会显示以下描述:
Vulnerability:弃用的 SSH 加密设置
威胁:SSH 协议 (Secure Shell) 是一种从一台计算机到另一台计算机进行安全远程登录的方法。目标使用已弃用的 SSH 加密设置进行通信。
影响:中间人攻击者可能会利用此漏洞记录通信,从而解密会话密钥甚至消息。
解决 方案:避免使用已弃用的加密设置。配置 SSH 时使用最佳实践。
Cause
当 ssh 客户端使用相同的弱 kex 算法通过 ssh 连接 Isilon 时,客户端可能会暴露敏感信息。在这种情况下,Isilon/客户端的影响较小。
我们不受这些算法的攻击或影响。
Onefs 8.1.2 不容易受到 diffie-hellman-group-exchange-sha1:
SHA1 的影响,如果用作签名算法会导致问题。TLS 使用的签名算法是带有 RSA 的 SHA256。
在 SSH 中,我们在 kex 算法中使用带有 sha1 的 diffie-hellman。但这些算法是按顺序首选项选择的。SHA2 算法显示在列表顶部,随后列出了 SHA1 以实现向后兼容性。
服务器和客户端协商,并选择列表中匹配的一个。因此,如果客户端使用 kex 算法保持更新,那么就不会有进一步的问题,也不会有 diffie-hellman 的问题,SHA1 被选为 kex 算法。
Onefs 在最新版本(8.2.2 以上)中删除了它
我们不受这些算法的攻击或影响。
Onefs 8.1.2 不容易受到 diffie-hellman-group-exchange-sha1:
SHA1 的影响,如果用作签名算法会导致问题。TLS 使用的签名算法是带有 RSA 的 SHA256。
在 SSH 中,我们在 kex 算法中使用带有 sha1 的 diffie-hellman。但这些算法是按顺序首选项选择的。SHA2 算法显示在列表顶部,随后列出了 SHA1 以实现向后兼容性。
服务器和客户端协商,并选择列表中匹配的一个。因此,如果客户端使用 kex 算法保持更新,那么就不会有进一步的问题,也不会有 diffie-hellman 的问题,SHA1 被选为 kex 算法。
Onefs 在最新版本(8.2.2 以上)中删除了它
Resolution
如果您需要将其从 8.1.2 中删除或无法升级到 OneFS 8.2.2 或更高版本,这是删除弱 kex 算法的解决方法:
检查 Onefs 8.2.2 的 kex 算法,此弱 kex 算法已被删除:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
如果存在,请修改 ssh 配置以将其从允许的 kex 算法中删除。
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
检查 Onefs 8.2.2 的 kex 算法,此弱 kex 算法已被删除:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
如果存在,请修改 ssh 配置以将其从允许的 kex 算法中删除。
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.