Connectrix Brocade:SSHの脆弱性に対するSHA1の廃止された設定

Summary: SSHの脆弱性に対するSHA1の廃止された設定。

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Symptoms

seccryptocfg出力にSHA1暗号が存在しません。ただし、セキュリティ スキャンは引き続きこの脆弱性をマークします。 
 

/fabos/link_abin/seccryptocfg --show:
SSH Crypto:
SSH Cipher               : aes128-ctr,aes192-ctr,aes256-ctr
SSH Kex                  : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256
SSH MAC                  : hmac-sha2-256,hmac-sha2-512
TLS Ciphers:
HTTPS                    : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
HTTPS_TLS_v1.3           : TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256
RADIUS                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
LDAP                     : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
SYSLOG                   : !ECDH:!DH:HIGH:-MD5:!CAMELLIA:!SRP:!PSK:!AESGCM
TLS Protocol:
HTTPS                    : Any
RADIUS                   : Any
LDAP                     : Any
SYSLOG                   : Any
--- Truncated ---

 

Cause

FOS 9.2.2より前のFOSバージョンでは、RSA SSHホストキー/公開キーはハッシュ アルゴリズム(SHA1)を使用していますが、このアルゴリズムは十分な強度があるとは見なされなくなり、スキャン ツール(Qualysなど)によって潜在的な脆弱性として一般的に報告されます。

ユーザーはRSAの代わりにECDSA SSHホストキー/公開キーを生成して使用できますが、FOS v9.2.2では、管理者がFOSとの間のSSH接続用にSSHホストキーアルゴリズムとPubkeyAlgorithmsを構成し、コマンドseccryptocfgを使用してより強力なRSAホストキー/公開キーを使用できるように拡張されています。
 

Resolution

スイッチをFOS 9.2.2.

にアップグレードしますFOS v9.2.2の暗号化テンプレートは、SSHの「HostKeyAlgorithms」キー エントリーと「PubKeyAlgorithms」キー エントリーでアップデートされています。

FOS v9.2.2を搭載して工場から出荷されたプラットフォームの例:
 

seccryptocfg --show
SSH Crypto:
SSH Cipher : aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,3des-cbc,aes192-
cbc,aes256-cbc
SSH Kex : ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffiehellman-group-exchange-sha256,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-
sha1
SSH MAC : hmac-sha2-256,hmac-sha2-512
SSH HostkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
SSH PubkeyAlg :rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp521
TLS Ciphers:
------Truncated---------

 

そのため、新しい属性 "HostkeyAlg" と "PubkeyAlg" は、次のコマンドで使用できます 'seccryptocfg --apply' FOS v9.2.2.
にアップグレードされたプラットフォームを構成するには手記:を使用してSSH、HostkeyAlgorithms、PubkeyAlgorithmsを構成する場合 'seccryptocfg --apply'の場合、SSHサービス(FOS内)が再起動されて新しい構成がロードされ、現在のCPとスタンバイCP(シャーシ内)上の既存のSSHセッションがすべて終了します。

Example:

seccryptocfg --apply -group SSH -attr HostkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’
seccryptocfg --apply -group SSH -attr PubkeyAlg -value ‘rsa-sha2-512,rsa-sha2-256,ecdsasha2-nistp521’

 

Products

Connectrix B-Series Hardware, Connectrix ED-DCX6-8B
Article Properties
Article Number: 000330885
Article Type: Solution
Last Modified: 12 Jun 2025
Version:  1
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.