Dell Unity : Un algorithme d’échange de clés SSH faible est signalé par le logiciel tiers d’analyse des failles de sécurité en exécutant le code 5.1.X sur Unity (corrigible par l’utilisateur)
Summary: Certains logiciels tiers d’analyse des failles de sécurité peuvent signaler un algorithme d’échange de clés SSH faible sur Unity en exécutant le code 5.1.X, mais les algorithmes faibles signalés sont désactivés sur Unity. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Certains logiciels tiers d’analyse des failles de sécurité (Nessus par exemple) peuvent signaler des algorithmes d’échange de clés SSH faibles sur les matrices Unity exécutant OE 5.1.x. :
Comment procéder à l’identification :
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group1-sha1
- gss-gex-sha1-*
- gss-group1-sha1-*
- gss-group14-sha1-*
- rsa1024-sha1
Comment procéder à l’identification :
- Pour prouver que les algorithmes d’échange de clés SSH faibles signalés sont désactivés sur Unity, le client peut essayer de se connecter via la commande SSH à Unity à l’aide des algorithmes *-sha1, spécifiés grâce au commutateur -okexalgorithms. La commande SSH échoue et informe l’utilisateur des algorithmes d’échange de clés disponibles sur Unity.
[root@centos ~]# ssh service@5.6.7.11 -okexalgorithms=diffie-hellman-group-exchange-sha1 Unable to negotiate with 5.6.7.11 port 22: no matching key exchange method found. Their offer: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
- Une autre méthode permettant de confirmer quels algorithmes d’échange de clés SSH sont pris en charge sur Unity consiste pour le client à se connecter via la commande SSH à Unity avec le mode de débogage activé à l’aide du commutateur -vvv. Dans le journal de débogage, les algorithmes d’échange de clés SSH pris en charge sur Unity sont répertoriés comme ci-dessous :
ssh -vvv 5.6.7.11 <snip> debug2: local client KEXINIT proposal debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1,ext-info-c <<<<< available key exchange algorithms on client <snip> debug2: peer server KEXINIT proposal debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256 <<<<<< available key exchange algorithms on Unity
- Si le logiciel tiers d’analyse des failles de sécurité signale des algorithmes d’échange de clés SSH faibles pour un ou plusieurs des algorithmes pris en charge ci-dessus et que le client souhaite les désactiver sur Unity, voir l’article Dell EMC Unity : l’algorithme d’échange de clés diffie-hellman-group1-sha1 est signalé par les scanners de sécurité sur Unity (Dell EMC Correctable (article interne restreint)) peut être appliqué.
Cause
Il s’agit d’un faux positif, car all sha1 Key exchange algorithms have been disabled/removed since Unity 5.1.0.
Resolution
Les clients doivent contacter leur fournisseur tiers de logiciels d’analyse des failles de sécurité afin d’examiner plus en détail la façon dont leur logiciel analyse le système Unity afin de comprendre pourquoi ces faux positifs sont générés.
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000199851
Article Type: Solution
Last Modified: 16 Jun 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.