VNX: La scansione Qualsys rileva QID 38738 - Chiave pubblica del server SSH troppo piccola
Summary: VNX: La scansione Qualsys rileva QID 38738 - Chiave pubblica del server SSH troppo piccola (correggibile dall'utente)
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
La scansione Qualsys rileva il seguente QID:
QID 38738 - Chiave pubblica del server SSH troppo piccola:
"THREAT: Il protocollo SSH (Secure Shell) è un metodo per l'accesso remoto sicuro da un computer a un altro. Il server SSH utilizza una chiave pubblica di piccole dimensioni. Le best practice richiedono che le firme digitali RSA abbiano una lunghezza di almeno 2.048 bit per fornire una sicurezza adeguata. Le lunghezze delle chiavi di 1.024 sono accettabili fino al 2013, ma dal 2011 sono considerate obsolete. Per ulteriori informazioni, consultare la NIST Special Publication 800-131A (http://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-131Ar1.pdf).
In questo QID vengono riportate solo le chiavi del server che non fanno parte di un certificato. I certificati OpenSSH che utilizzano tasti brevi sono riportati nel QID 38733. I certificati X.509 che utilizzano tasti di scelta rapida sono riportati in QID 38171.
SOLUZIONE: Le chiavi DSA e RSA più corte di 2.048 bit sono considerate vulnerabili. Si consiglia di installare una chiave pubblica RSA con una lunghezza di almeno 2.048 bit o superiore oppure di passare a ECDSA o EdDSA."
Cause
La control station VNX utilizza una chiave RSA a 2048 bit, ma la chiave DSA è a 1024 bit.
Resolution
Osservando i tasti della control station in /etc/ssh/sshd_config possiamo vedere che la chiave pubblica e la chiave privata RSA hanno una firma a 2048 bit:
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Tuttavia, la chiave DSA è lunga solo 1024 bit:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Le chiavi DSA superiori a 1024 bit non sono supportate, la soluzione consiste in genere nel disabilitare le chiavi basate su DSA sul server. Tuttavia, nel nostro caso, questo non è possibile a causa della vecchia versione di OpenSSH in esecuzione sulla stazione di controllo. L'opzione per disabilitare DSA sul lato server è HostKeyAlgorithms e non è presente nella versione di OpenSSL in esecuzione sulla control station.
Questa chiave non viene utilizzata per l'autenticazione client/server e non può essere utilizzata per decrittografare il traffico. Viene utilizzato solo per verificare l'autenticità dell host tramite known_hosts e per aiutare a stabilire l'handshake iniziale. Questa non è considerata una vulnerabilità e al momento non è previsto l'aggiornamento di openSSL a una versione che supporti l'opzione HostKeyAlgorithms. Al momento non è possibile disabilitare la chiave host DSA sul server SSH della control station, quindi non c'è modo di mitigare la causa della scansione che rileva la chiave più piccola.
ssh-keygen -lf /etc/ssh/ssh_host_rsa_key
2048 57:4e:5e:4f:3a:94:f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
ssh-keygen -lf ssh_host_rsa_key.pub
2048 57:4e:5e:4f:3a:94: f6:3f:84:81:18:5c:b1:72:3b:b4 ssh_host_rsa_key.pub (RSA)
Tuttavia, la chiave DSA è lunga solo 1024 bit:
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key
1024 2d:b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
ssh-keygen -lf /etc/ssh/ssh_host_dsa_key.pub
1024 2d: b9:e3:e0:64:e2:5f:18:3c:8f:e5:4e:18:3a:87:cd ssh_host_dsa_key.pub (DSA)
Le chiavi DSA superiori a 1024 bit non sono supportate, la soluzione consiste in genere nel disabilitare le chiavi basate su DSA sul server. Tuttavia, nel nostro caso, questo non è possibile a causa della vecchia versione di OpenSSH in esecuzione sulla stazione di controllo. L'opzione per disabilitare DSA sul lato server è HostKeyAlgorithms e non è presente nella versione di OpenSSL in esecuzione sulla control station.
Questa chiave non viene utilizzata per l'autenticazione client/server e non può essere utilizzata per decrittografare il traffico. Viene utilizzato solo per verificare l'autenticità dell host tramite known_hosts e per aiutare a stabilire l'handshake iniziale. Questa non è considerata una vulnerabilità e al momento non è previsto l'aggiornamento di openSSL a una versione che supporti l'opzione HostKeyAlgorithms. Al momento non è possibile disabilitare la chiave host DSA sul server SSH della control station, quindi non c'è modo di mitigare la causa della scansione che rileva la chiave più piccola.
Affected Products
VNX2 SeriesProducts
VNX VG10, VNX VG2, VNX VG50, VNX VG8, VNX1 Series, VNX2 Series, VNX5200, VNX5300, VNX5400, VNX5500, VNX5600, VNX5700, VNX5800, VNX7500, VNX7600Article Properties
Article Number: 000056369
Article Type: Solution
Last Modified: 03 Mar 2025
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.