PowerScale: SSH Key Exchange Algorithm flaggas av skannrar för säkerhetsbrister: diffie-hellman-group1-sha1
Summary: I den här artikeln beskrivs hur du åtgärdar det här säkerhetsproblemet för Isilon, som inte är kritiskt men som kan visas som ett svagt chiffer i sårbarhetsgenomsökningar.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
SSHD-algoritmer för nyckelutbyte.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Cause
När ssh-klienten använder samma svaga kex-algoritmer för att ansluta Isilon via ssh kan klienten exponera känslig information. I det här fallet är detta mindre påverkan av Isilon/Client.
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Resolution
Om du behöver ta bort den från 8.1.2 eller inte kan uppgradera till OneFS 8.2.2 eller senare är detta lösningen för att ta bort svaga kex-algoritmer:
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.