PowerScale: Алгоритм обміну ключами SSH позначається сканерами вразливостей безпеки: diffie-hellman-group1-sha1
Summary: У цій статті описано, як виправити цю вразливість для Isilon, яка не є критичною, але може з'явитися під час сканування вразливостей як слабкий шифр.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Алгоритми обміну ключами SSHD.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Cause
Якщо клієнт ssh використовує ті самі слабкі алгоритми kex для з'єднання Isilon за допомогою ssh, клієнт може розкрити конфіденційні дані. У цьому випадку це менший вплив Ісілона/Клієнта.
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Resolution
Якщо вам потрібно вилучити його з версії 8.1.2 або ви не можете оновитися до OneFS 8.2.2 або новішої версії, ось обхідний шлях для вилучення слабких алгоритмів kex:
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sept 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.