PowerScale: Algorytm wymiany kluczy SSH jest oznaczony przez skanery luk w zabezpieczeniach: diffie-hellman-group1-sha1
Summary: W tym artykule opisano, jak naprawić tę lukę w zabezpieczeniach Isilon, która nie jest krytyczna, ale może pojawiać się w skanowaniu luk jako słaby szyfr.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Algorytmy wymiany kluczy SSHD.
Onefs włączył algorytmy wymiany kluczy diffie-hellman-group-exchange-sha1, który jest oznaczony przez skaner jako luka w zabezpieczeniach.
W raporcie skanowania luk w zabezpieczeniach może pojawić się następujący opis:
Luka w zabezpieczeniach: Przestarzałe ustawienia
kryptograficzne SSHZAGROŻENIE: Protokół SSH (Secure Shell) to metoda bezpiecznego zdalnego logowania z jednego komputera na drugi. Cel używa przestarzałych ustawień kryptograficznych SSH do komunikacji.
WPŁYW: Osoba atakująca typu man-in-the-middle może być w stanie wykorzystać tę lukę do nagrania komunikacji w celu odszyfrowania klucza sesji, a nawet wiadomości.
ROZWIĄZANIE: Unikaj używania przestarzałych ustawień kryptograficznych. Podczas konfigurowania protokołu SSH należy kierować się najlepszymi rozwiązaniami.
Onefs włączył algorytmy wymiany kluczy diffie-hellman-group-exchange-sha1, który jest oznaczony przez skaner jako luka w zabezpieczeniach.
W raporcie skanowania luk w zabezpieczeniach może pojawić się następujący opis:
Luka w zabezpieczeniach: Przestarzałe ustawienia
kryptograficzne SSHZAGROŻENIE: Protokół SSH (Secure Shell) to metoda bezpiecznego zdalnego logowania z jednego komputera na drugi. Cel używa przestarzałych ustawień kryptograficznych SSH do komunikacji.
WPŁYW: Osoba atakująca typu man-in-the-middle może być w stanie wykorzystać tę lukę do nagrania komunikacji w celu odszyfrowania klucza sesji, a nawet wiadomości.
ROZWIĄZANIE: Unikaj używania przestarzałych ustawień kryptograficznych. Podczas konfigurowania protokołu SSH należy kierować się najlepszymi rozwiązaniami.
Cause
Gdy klient ssh używa tych samych słabych algorytmów kex do łączenia się z Isilon przez ssh, klient może ujawnić poufne informacje. W tym przypadku wpływ Isilon/klienta jest mniejszy.
Te algorytmy nie są dla nas podatne na ataki ani nie mają na nas wpływu.
Onefs 8.1.2 nie jest podatny na ataki ani nie ma na niego wpływu diffie-hellman-group-exchange-sha1:SHA1,
jeśli jest używany jako algorytm podpisywania powoduje problem. Algorytm podpisu używany przez protokół TLS to SHA256 z RSA.
W SSH używamy diffie-hellmana z sha1 w algorytmie kex. Ale te algorytmy są wybierane zgodnie z uporządkowanymi preferencjami. Algorytm SHA2 znajduje się na górze listy, a następnie SHA1 są wymienione w celu zapewnienia zgodności z poprzednimi wersjami.
Serwer i klient negocjują i wybierany jest ten, który pasuje do listy. Jeśli więc klienci będą na bieżąco informowani o algorytmach kex, nie będzie dalszych problemów i nie będzie mowy o diffie-hellmanie z SHA1 wybranym jako algorytm kex.
Onefs usunął go w najnowszej wersji (8.2.2 powyżej)
Te algorytmy nie są dla nas podatne na ataki ani nie mają na nas wpływu.
Onefs 8.1.2 nie jest podatny na ataki ani nie ma na niego wpływu diffie-hellman-group-exchange-sha1:SHA1,
jeśli jest używany jako algorytm podpisywania powoduje problem. Algorytm podpisu używany przez protokół TLS to SHA256 z RSA.
W SSH używamy diffie-hellmana z sha1 w algorytmie kex. Ale te algorytmy są wybierane zgodnie z uporządkowanymi preferencjami. Algorytm SHA2 znajduje się na górze listy, a następnie SHA1 są wymienione w celu zapewnienia zgodności z poprzednimi wersjami.
Serwer i klient negocjują i wybierany jest ten, który pasuje do listy. Jeśli więc klienci będą na bieżąco informowani o algorytmach kex, nie będzie dalszych problemów i nie będzie mowy o diffie-hellmanie z SHA1 wybranym jako algorytm kex.
Onefs usunął go w najnowszej wersji (8.2.2 powyżej)
Resolution
Jeśli musisz usunąć go z wersji 8.1.2 lub nie możesz uaktualnić do OneFS 8.2.2 lub nowszego, jest to obejście, aby usunąć słabe algorytmy kex:
Sprawdź algorytmy kex Onefs 8.2.2, ten słaby algorytm kex został usunięty:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jeśli jest obecny, zmodyfikuj konfigurację ssh, aby usunąć ją z dozwolonych algorytmów kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Uruchom ponownie usługę SSHD:
# isi_for_array 'killall -HUP sshd'
Sprawdź algorytmy kex Onefs 8.2.2, ten słaby algorytm kex został usunięty:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jeśli jest obecny, zmodyfikuj konfigurację ssh, aby usunąć ją z dozwolonych algorytmów kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Uruchom ponownie usługę SSHD:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.