PowerScale: Los escáneres de vulnerabilidades de seguridad marcan el algoritmo de intercambio de claves SSH: diffie-hellman-group1-sha1
Resumen: En este artículo, se describe cómo corregir esta vulnerabilidad para Isilon, que no es crítica, pero puede aparecer en los análisis de vulnerabilidades como un cifrado débil.
Este artículo se aplica a
Este artículo no se aplica a
Este artículo no está vinculado a ningún producto específico.
No se identifican todas las versiones del producto en este artículo.
Síntomas
Algoritmos de intercambio de claves SSHD.
Onefs habilitó los algoritmos de intercambio de claves diffie-hellman-group-exchange-sha1, que el escáner marca como una vulnerabilidad.
Es posible que aparezca la siguiente descripción en un informe de análisis de vulnerabilidad:
Vulnerabilidad: Configuración criptográfica
SSH obsoletaAMENAZA: El protocolo SSH (Secure Shell) es un método para el inicio de sesión remoto seguro de una computadora a otra. El destino utiliza ajustes criptográficos SSH obsoletos para comunicarse.
IMPACTO: Un atacante de intermediario puede aprovechar esta vulnerabilidad para grabar la comunicación con el fin de descifrar la clave de sesión e incluso los mensajes.
SOLUCIÓN: Evite usar ajustes criptográficos obsoletos. Use las prácticas recomendadas cuando configure SSH.
Onefs habilitó los algoritmos de intercambio de claves diffie-hellman-group-exchange-sha1, que el escáner marca como una vulnerabilidad.
Es posible que aparezca la siguiente descripción en un informe de análisis de vulnerabilidad:
Vulnerabilidad: Configuración criptográfica
SSH obsoletaAMENAZA: El protocolo SSH (Secure Shell) es un método para el inicio de sesión remoto seguro de una computadora a otra. El destino utiliza ajustes criptográficos SSH obsoletos para comunicarse.
IMPACTO: Un atacante de intermediario puede aprovechar esta vulnerabilidad para grabar la comunicación con el fin de descifrar la clave de sesión e incluso los mensajes.
SOLUCIÓN: Evite usar ajustes criptográficos obsoletos. Use las prácticas recomendadas cuando configure SSH.
Causa
Cuando el cliente ssh utiliza los mismos algoritmos kex débiles para conectarse a Isilon a través de SSH, el cliente puede exponer información confidencial. En este caso, el impacto de Isilon/cliente es menor.
Estos algoritmos no nos hacen vulnerables ni nos afectan.
OneFS 8.1.2 no es vulnerable ni se ve afectado por diffie-hellman-group-exchange-sha1:
SHA1 si se utiliza como algoritmo de firma y causa un problema. El algoritmo de firma que utiliza TLS es SHA256 con RSA.
En SSH usamos diffie-hellman con sha1 en el algoritmo kex. Pero esos algoritmos se seleccionan en la preferencia ordenada. El algoritmo SHA2 está presente en la parte superior de la lista y, a continuación, SHA1 se enumera para la compatibilidad con versiones anteriores.
El servidor y el cliente negocian y se selecciona el que coincida en la lista. Por lo tanto, si los clientes se mantienen actualizados con algoritmos kex, entonces no habrá más problemas y no habrá duda de que diffie-hellman con SHA1 se seleccionará como algoritmo kex.
Onefs lo eliminó en la última versión (8.2.2 anterior)
Estos algoritmos no nos hacen vulnerables ni nos afectan.
OneFS 8.1.2 no es vulnerable ni se ve afectado por diffie-hellman-group-exchange-sha1:
SHA1 si se utiliza como algoritmo de firma y causa un problema. El algoritmo de firma que utiliza TLS es SHA256 con RSA.
En SSH usamos diffie-hellman con sha1 en el algoritmo kex. Pero esos algoritmos se seleccionan en la preferencia ordenada. El algoritmo SHA2 está presente en la parte superior de la lista y, a continuación, SHA1 se enumera para la compatibilidad con versiones anteriores.
El servidor y el cliente negocian y se selecciona el que coincida en la lista. Por lo tanto, si los clientes se mantienen actualizados con algoritmos kex, entonces no habrá más problemas y no habrá duda de que diffie-hellman con SHA1 se seleccionará como algoritmo kex.
Onefs lo eliminó en la última versión (8.2.2 anterior)
Resolución
Si necesita eliminarlo de 8.1.2 o no puede actualizar a OneFS 8.2.2 o posterior, esta es la solución alternativa para eliminar los algoritmos kex débiles:
Verifique los algoritmos kex de Onefs 8.2.2, este algoritmo kex débil se ha eliminado:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si está presente, modifique la configuración de ssh para eliminarla de los algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie el servicio SSHD:
# isi_for_array 'killall -HUP sshd'
Verifique los algoritmos kex de Onefs 8.2.2, este algoritmo kex débil se ha eliminado:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si está presente, modifique la configuración de ssh para eliminarla de los algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie el servicio SSHD:
# isi_for_array 'killall -HUP sshd'
Productos afectados
PowerScale OneFSPropiedades del artículo
Número del artículo: 000195307
Tipo de artículo: Solution
Última modificación: 07 sept 2022
Versión: 3
Encuentre respuestas a sus preguntas de otros usuarios de Dell
Servicios de soporte
Compruebe si el dispositivo está cubierto por los servicios de soporte.