Dell Unity: un algoritmo di scambio chiavi SSH non sicure viene segnalato da un software di scansione delle vulnerabilità di terze parti su Unity code 5.1.X (correggibile dall'utente)
Summary: Alcuni software di scansione delle vulnerabilità di terze parti potrebbero segnalare un algoritmo di scambio chiavi SSH debole su Unity con codice 5.1.X, ma gli algoritmi deboli segnalati sono disabilitati in Unity. ...
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Symptoms
Alcuni software di scansione delle vulnerabilità di terze parti (ad esempio Nessus) potrebbero segnalare alcuni algoritmi di scambio chiavi SSH deboli sugli array Unity che eseguono OE 5.1.x:
Come identificare:
- diffie-hellman-group-exchange-sha1
- diffie-hellman-group1-sha1
- gss-gex-sha1-*
- gss-group1-sha1-*
- gss-group14-sha1-*
- rsa1024-sha1
Come identificare:
- Per dimostrare che gli algoritmi di scambio delle chiavi SSH segnalati sono disabilitati in Unity, il cliente può provare a eseguire l'ssh su Unity con gli algoritmi *-sha1 specificati utilizzando lo switch -okexalgorithms. Il comando ssh avrà esito negativo e informerà l'utente degli algoritmi disponibili scambiati con chiave su Unity.
[root@centos ~]# ssh service@5.6.7.11 -okexalgorithms=diffie-hellman-group-exchange-sha1 Unable to negotiate with 5.6.7.11 port 22: no matching key exchange method found. Their offer: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
- Un altro metodo per confermare gli algoritmi di scambio chiavi SSH supportati su Unity è che il client può eseguire l'ssh su Unity con modalità di debug abilitata utilizzando lo switch -vvv. Nel registro di debug, gli algoritmi supportati scambiati con chiave SSH su Unity saranno elencati come segue:
ssh -vvv 5.6.7.11 <snip> debug2: local client KEXINIT proposal debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1,ext-info-c <<<<< available key exchange algorithms on client <snip> debug2: peer server KEXINIT proposal debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256 <<<<<< available key exchange algorithms on Unity
- Se il software di scansione delle vulnerabilità di terze parti segnala algoritmi di scambio chiavi SSH deboli per uno o più algoritmi supportati di cui sopra e il cliente desidera disabilitarli su Unity, è possibile applicare l'articolo Dell EMC Unity: diffie-hellman-group1-sha1 Key-Exchange Algorithm viene contrassegnato dagli scanner di sicurezza su Unity (è possibile applicare Dell EMC correggibile (questo è un articolo con restrizioni interne)).
Cause
Si tratta di un falso positivo in quanto tutti gli algoritmi di scambio chiavi sha1 sono stati disabilitati/rimossi a partire da Unity 5.1.0.
Resolution
I clienti devono rivolgersi al vendor del software di scansione delle vulnerabilità di terze parti per esaminare ulteriormente in che modo il software esegue la scansione del sistema Unity per capire perché vengono generati tali falsi positivi.
Affected Products
Dell EMC UnityArticle Properties
Article Number: 000199851
Article Type: Solution
Last Modified: 16 Jun 2023
Version: 8
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.