PowerScale: Los escáneres de vulnerabilidades de seguridad marcan el algoritmo de intercambio de claves SSH: diffie-hellman-group1-sha1
Summary: En este artículo, se describe cómo corregir esta vulnerabilidad para Isilon, que no es crítica, pero puede aparecer en los análisis de vulnerabilidades como un cifrado débil.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Algoritmos de intercambio de claves SSHD.
Onefs habilitó los algoritmos de intercambio de claves diffie-hellman-group-exchange-sha1, que el escáner marca como una vulnerabilidad.
Es posible que aparezca la siguiente descripción en un informe de análisis de vulnerabilidad:
Vulnerabilidad: Configuración criptográfica
SSH obsoletaAMENAZA: El protocolo SSH (Secure Shell) es un método para el inicio de sesión remoto seguro de una computadora a otra. El destino utiliza ajustes criptográficos SSH obsoletos para comunicarse.
IMPACTO: Un atacante de intermediario puede aprovechar esta vulnerabilidad para grabar la comunicación con el fin de descifrar la clave de sesión e incluso los mensajes.
SOLUCIÓN: Evite usar ajustes criptográficos obsoletos. Use las prácticas recomendadas cuando configure SSH.
Onefs habilitó los algoritmos de intercambio de claves diffie-hellman-group-exchange-sha1, que el escáner marca como una vulnerabilidad.
Es posible que aparezca la siguiente descripción en un informe de análisis de vulnerabilidad:
Vulnerabilidad: Configuración criptográfica
SSH obsoletaAMENAZA: El protocolo SSH (Secure Shell) es un método para el inicio de sesión remoto seguro de una computadora a otra. El destino utiliza ajustes criptográficos SSH obsoletos para comunicarse.
IMPACTO: Un atacante de intermediario puede aprovechar esta vulnerabilidad para grabar la comunicación con el fin de descifrar la clave de sesión e incluso los mensajes.
SOLUCIÓN: Evite usar ajustes criptográficos obsoletos. Use las prácticas recomendadas cuando configure SSH.
Cause
Cuando el cliente ssh utiliza los mismos algoritmos kex débiles para conectarse a Isilon a través de SSH, el cliente puede exponer información confidencial. En este caso, el impacto de Isilon/cliente es menor.
Estos algoritmos no nos hacen vulnerables ni nos afectan.
OneFS 8.1.2 no es vulnerable ni se ve afectado por diffie-hellman-group-exchange-sha1:
SHA1 si se utiliza como algoritmo de firma y causa un problema. El algoritmo de firma que utiliza TLS es SHA256 con RSA.
En SSH usamos diffie-hellman con sha1 en el algoritmo kex. Pero esos algoritmos se seleccionan en la preferencia ordenada. El algoritmo SHA2 está presente en la parte superior de la lista y, a continuación, SHA1 se enumera para la compatibilidad con versiones anteriores.
El servidor y el cliente negocian y se selecciona el que coincida en la lista. Por lo tanto, si los clientes se mantienen actualizados con algoritmos kex, entonces no habrá más problemas y no habrá duda de que diffie-hellman con SHA1 se seleccionará como algoritmo kex.
Onefs lo eliminó en la última versión (8.2.2 anterior)
Estos algoritmos no nos hacen vulnerables ni nos afectan.
OneFS 8.1.2 no es vulnerable ni se ve afectado por diffie-hellman-group-exchange-sha1:
SHA1 si se utiliza como algoritmo de firma y causa un problema. El algoritmo de firma que utiliza TLS es SHA256 con RSA.
En SSH usamos diffie-hellman con sha1 en el algoritmo kex. Pero esos algoritmos se seleccionan en la preferencia ordenada. El algoritmo SHA2 está presente en la parte superior de la lista y, a continuación, SHA1 se enumera para la compatibilidad con versiones anteriores.
El servidor y el cliente negocian y se selecciona el que coincida en la lista. Por lo tanto, si los clientes se mantienen actualizados con algoritmos kex, entonces no habrá más problemas y no habrá duda de que diffie-hellman con SHA1 se seleccionará como algoritmo kex.
Onefs lo eliminó en la última versión (8.2.2 anterior)
Resolution
Si necesita eliminarlo de 8.1.2 o no puede actualizar a OneFS 8.2.2 o posterior, esta es la solución alternativa para eliminar los algoritmos kex débiles:
Verifique los algoritmos kex de Onefs 8.2.2, este algoritmo kex débil se ha eliminado:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si está presente, modifique la configuración de ssh para eliminarla de los algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie el servicio SSHD:
# isi_for_array 'killall -HUP sshd'
Verifique los algoritmos kex de Onefs 8.2.2, este algoritmo kex débil se ha eliminado:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si está presente, modifique la configuración de ssh para eliminarla de los algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie el servicio SSHD:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.