PowerScale: Algoritmus výměny klíčů SSH je označen skenery chyb zabezpečení: diffie-hellman-group1-sha1
Summary: Tento článek popisuje, jak napravit tuto chybu zabezpečení pro řešení Isilon, která není kritická, ale může se při skenování zranitelností jevit jako slabá šifra.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Algoritmy výměny klíčů SSHD.
Systém Onefs povolil algoritmy výměny klíčů diffie-hellman-group-exchange-sha1, které skener označil jako chybu zabezpečení.
Ve zprávě o kontrole chyb zabezpečení se může objevit následující popis:
Chyba zabezpečení: Zrušená kryptografická nastavení
SSHHRROZBA: Protokol SSH (Secure Shell) je metoda pro bezpečné vzdálené přihlášení z jednoho počítače do druhého. Cíl ke komunikaci používá zastaralá kryptografická nastavení SSH.
DOPAD: Útočník typu man-in-the-middle může tuto chybu zabezpečení zneužít k zaznamenání komunikace a dešifrování klíče relace a dokonce i zpráv.
ŘEŠENÍ: Nepoužívejte zastaralá kryptografická nastavení. Při konfiguraci SSH používejte osvědčené postupy.
Systém Onefs povolil algoritmy výměny klíčů diffie-hellman-group-exchange-sha1, které skener označil jako chybu zabezpečení.
Ve zprávě o kontrole chyb zabezpečení se může objevit následující popis:
Chyba zabezpečení: Zrušená kryptografická nastavení
SSHHRROZBA: Protokol SSH (Secure Shell) je metoda pro bezpečné vzdálené přihlášení z jednoho počítače do druhého. Cíl ke komunikaci používá zastaralá kryptografická nastavení SSH.
DOPAD: Útočník typu man-in-the-middle může tuto chybu zabezpečení zneužít k zaznamenání komunikace a dešifrování klíče relace a dokonce i zpráv.
ŘEŠENÍ: Nepoužívejte zastaralá kryptografická nastavení. Při konfiguraci SSH používejte osvědčené postupy.
Cause
Pokud klient SSH používá pro připojení řešení Isilon přes SSH stejné slabé algoritmy kex, může klient vystavit citlivé informace. V tomto případě se jedná o menší dopad řešení Isilon/Client.
Nejsme těmito algoritmy zranitelní ani ovlivnění.
Systém Onefs 8.1.2 není ohrožen chybou diffie-hellman-group-exchange-sha1:
SHA1, pokud je použit jako podpisový algoritmus způsobující problém. Algoritmus podpisu používaný protokolem TLS je SHA256 s RSA.
V SSH používáme diffie-hellman s sha1 v kex algoritmu. Tyto algoritmy jsou však vybrány v seřazené předvolbě. Algoritmus SHA2 je uveden v horní části seznamu a poté jsou uvedeny SHA1 kvůli zpětné kompatibilitě.
Server a klient vyjednají a vybere se ten, který odpovídá v seznamu. Pokud jsou tedy klienti průběžně informováni o algoritmech kex, nebudou žádné další problémy a nebude pochyb o tom, že by byl jako algoritmus kex vybrán algoritmus diffie-hellman s SHA1.
Onefs jej v nejnovější verzi odstranil (8.2.2 výše)
Nejsme těmito algoritmy zranitelní ani ovlivnění.
Systém Onefs 8.1.2 není ohrožen chybou diffie-hellman-group-exchange-sha1:
SHA1, pokud je použit jako podpisový algoritmus způsobující problém. Algoritmus podpisu používaný protokolem TLS je SHA256 s RSA.
V SSH používáme diffie-hellman s sha1 v kex algoritmu. Tyto algoritmy jsou však vybrány v seřazené předvolbě. Algoritmus SHA2 je uveden v horní části seznamu a poté jsou uvedeny SHA1 kvůli zpětné kompatibilitě.
Server a klient vyjednají a vybere se ten, který odpovídá v seznamu. Pokud jsou tedy klienti průběžně informováni o algoritmech kex, nebudou žádné další problémy a nebude pochyb o tom, že by byl jako algoritmus kex vybrán algoritmus diffie-hellman s SHA1.
Onefs jej v nejnovější verzi odstranil (8.2.2 výše)
Resolution
Pokud jej potřebujete odebrat z verze 8.1.2 nebo nemůžete upgradovat na OneFS 8.2.2 nebo novější, toto je zástupné řešení pro odstranění slabých algoritmů kex:
Zkontrolujte algoritmy kex systému Onefs 8.2.2, tento slabý algoritmus kex byl odstraněn
:# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Pokud je k dispozici, upravte konfiguraci ssh a odeberte ji z povolených algoritmů kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restartujte službu SSHD:
# isi_for_array 'killall -HUP sshd'
Zkontrolujte algoritmy kex systému Onefs 8.2.2, tento slabý algoritmus kex byl odstraněn
:# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Pokud je k dispozici, upravte konfiguraci ssh a odeberte ji z povolených algoritmů kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restartujte službu SSHD:
# isi_for_array 'killall -HUP sshd'
Affected Products
PowerScale OneFSArticle Properties
Article Number: 000195307
Article Type: Solution
Last Modified: 07 Sep 2022
Version: 3
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.