PowerScale: L'algoritmo di scambio chiavi SSH è contrassegnato dagli scanner delle vulnerabilità di sicurezza: diffie-hellman-group1-sha1
Summary: Questo articolo descrive come risolvere questa vulnerabilità per Isilon, che non è critico, ma potrebbe essere visualizzato nelle analisi delle vulnerabilità come una crittografia debole. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Algoritmi di scambio chiavi SSHD.
Onefs ha abilitato gli algoritmi di scambio chiavi diffie-hellman-group-exchange-sha1, contrassegnati come vulnerabilità dallo scanner.
In un report di scansione delle vulnerabilità potrebbe essere visualizzata la seguente descrizione:
Vulnerability: Impostazioni
di crittografia SSH obsoleteMINACCIA: Il protocollo SSH (Secure Shell) è un metodo per l'accesso remoto sicuro da un computer a un altro. La destinazione utilizza impostazioni crittografiche SSH obsolete per comunicare.
IMPATTO: Un utente malintenzionato man-in-the-middle può essere in grado di sfruttare questa vulnerabilità per registrare la comunicazione e decrittografare la chiave di sessione e persino i messaggi.
SOLUZIONE: Evitare di utilizzare impostazioni crittografiche obsolete. Utilizzare le best practice durante la configurazione di SSH.
Onefs ha abilitato gli algoritmi di scambio chiavi diffie-hellman-group-exchange-sha1, contrassegnati come vulnerabilità dallo scanner.
In un report di scansione delle vulnerabilità potrebbe essere visualizzata la seguente descrizione:
Vulnerability: Impostazioni
di crittografia SSH obsoleteMINACCIA: Il protocollo SSH (Secure Shell) è un metodo per l'accesso remoto sicuro da un computer a un altro. La destinazione utilizza impostazioni crittografiche SSH obsolete per comunicare.
IMPATTO: Un utente malintenzionato man-in-the-middle può essere in grado di sfruttare questa vulnerabilità per registrare la comunicazione e decrittografare la chiave di sessione e persino i messaggi.
SOLUZIONE: Evitare di utilizzare impostazioni crittografiche obsolete. Utilizzare le best practice durante la configurazione di SSH.
Cause
Quando il client ssh usa gli stessi algoritmi kex deboli per connettere Isilon tramite ssh, il client potrebbe esporre informazioni sensibili. In questo caso, si tratta di un impatto minore di Isilon/client.
Non siamo vulnerabili o influenzati da questi algoritmi.
Onefs 8.1.2 non è vulnerabile o influenzato da diffie-hellman-group-exchange-sha1:
SHA1 se utilizzato come algoritmo di firma causa un problema. L'algoritmo di firma utilizzato da TLS è SHA256 con RSA.
In SSH usiamo diffie-hellman con sha1 nell'algoritmo kex. Ma questi algoritmi vengono selezionati nella preferenza ordinata. L'algoritmo SHA2 è presente in cima all'elenco, quindi SHA1 è elencato per la compatibilità con le versioni precedenti.
Server e client vengono negotiate e viene selezionato quello corrispondente nell'elenco. Quindi, se i client vengono mantenuti aggiornati con gli algoritmi kex, non ci saranno ulteriori problemi e non ci sarà alcuna questione di diffie-hellman con SHA1 selezionato come algoritmo kex.
Onefs lo ha rimosso nell'ultima versione (8.2.2 sopra)
Non siamo vulnerabili o influenzati da questi algoritmi.
Onefs 8.1.2 non è vulnerabile o influenzato da diffie-hellman-group-exchange-sha1:
SHA1 se utilizzato come algoritmo di firma causa un problema. L'algoritmo di firma utilizzato da TLS è SHA256 con RSA.
In SSH usiamo diffie-hellman con sha1 nell'algoritmo kex. Ma questi algoritmi vengono selezionati nella preferenza ordinata. L'algoritmo SHA2 è presente in cima all'elenco, quindi SHA1 è elencato per la compatibilità con le versioni precedenti.
Server e client vengono negotiate e viene selezionato quello corrispondente nell'elenco. Quindi, se i client vengono mantenuti aggiornati con gli algoritmi kex, non ci saranno ulteriori problemi e non ci sarà alcuna questione di diffie-hellman con SHA1 selezionato come algoritmo kex.
Onefs lo ha rimosso nell'ultima versione (8.2.2 sopra)
Resolution
Se è necessario rimuoverlo da 8.1.2 o non è possibile eseguire l'aggiornamento a OneFS 8.2.2 o versioni successive, questa è la soluzione alternativa per rimuovere gli algoritmi kex deboli:
Controllare gli algoritmi kex di Onefs 8.2.2, questo algoritmo kex debole è stato rimosso:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se presente, modificare la configurazione ssh per rimuoverla dagli algoritmi kex consentiti.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Riavviare il servizio SSHD:
# isi_for_array 'killall -HUP sshd'
Controllare gli algoritmi kex di Onefs 8.2.2, questo algoritmo kex debole è stato rimosso:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se presente, modificare la configurazione ssh per rimuoverla dagli algoritmi kex consentiti.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Riavviare il servizio SSHD:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.