PowerScale. Алгоритм обмена ключами SSH помечен сканерами уязвимостей безопасности: diffie-hellman-group1-sha1
Summary: В этой статье описано, как устранить эту уязвимость для Isilon, которая не является критической, но может отображаться при сканировании на наличие уязвимостей как слабый шифр.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Алгоритмы обмена ключами SSHD.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Cause
Если клиент SSH использует те же слабые алгоритмы kex для подключения Isilon по протоколу SSH, он может раскрыть конфиденциальную информацию. В этом случае это меньшее влияние Isilon/Client.
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Resolution
Если вам нужно удалить его с версии 8.1.2 или вы не можете выполнить модернизацию до OneFS 8.2.2 или более поздней версии, это временное решение для удаления слабых алгоритмов kex:
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.