PowerScale: SSH Key Exchange Algorithm is gemarkeerd door security vulnerability scanners: diffie-hellman-group1-sha1
Résumé: In dit artikel wordt beschreven hoe u dit beveiligingslek kunt verhelpen voor Isilon. Dit is niet kritiek, maar kan in kwetsbaarheidsscans worden weergegeven als een zwakke codering.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Algoritmen voor het uitwisselen van SSHD-sleutels.
Onefs heeft sleuteluitwisselingsalgoritmen diffie-hellman-group-exchange-sha1 ingeschakeld, wat door de scanner als een kwetsbaarheid is gemarkeerd.
De volgende beschrijving kan worden weergegeven in een beveiligingsscanrapport:
Beveiligingslek: Afgeschafte SSH cryptografische instellingen
BEDREIGING: Het SSH-protocol (Secure Shell) is een methode om veilig op afstand in te loggen van de ene computer naar de andere. Het doel gebruikt verouderde cryptografische SSH-instellingen om te communiceren.
IMPACT: Een man-in-the-middle-aanvaller kan dit beveiligingslek misbruiken om de communicatie op te nemen om de sessiesleutel en zelfs de berichten te ontsleutelen.
OPLOSSING: Vermijd het gebruik van verouderde cryptografische instellingen. Gebruik de best practices bij het configureren van SSH.
Onefs heeft sleuteluitwisselingsalgoritmen diffie-hellman-group-exchange-sha1 ingeschakeld, wat door de scanner als een kwetsbaarheid is gemarkeerd.
De volgende beschrijving kan worden weergegeven in een beveiligingsscanrapport:
Beveiligingslek: Afgeschafte SSH cryptografische instellingen
BEDREIGING: Het SSH-protocol (Secure Shell) is een methode om veilig op afstand in te loggen van de ene computer naar de andere. Het doel gebruikt verouderde cryptografische SSH-instellingen om te communiceren.
IMPACT: Een man-in-the-middle-aanvaller kan dit beveiligingslek misbruiken om de communicatie op te nemen om de sessiesleutel en zelfs de berichten te ontsleutelen.
OPLOSSING: Vermijd het gebruik van verouderde cryptografische instellingen. Gebruik de best practices bij het configureren van SSH.
Cause
Wanneer de ssh-client dezelfde zwakke kex-algoritmen gebruikt om Isilon via ssh te verbinden, kan de client gevoelige informatie vrijgeven. In dit geval is dit minder impact van Isilon/Client.
We zijn niet kwetsbaar of beïnvloed door deze algoritmen.
Onefs 8.1.2 is niet kwetsbaar of wordt niet beïnvloed door diffie-hellman-group-exchange-sha1:
SHA1 indien gebruikt omdat het ondertekeningsalgoritme een probleem veroorzaakt. Het handtekeningalgoritme dat door TLS wordt gebruikt, is SHA256 met RSA.
In SSH gebruiken we diffie-hellman met sha1 in het kex-algoritme. Maar die algoritmen worden geselecteerd in de geordende voorkeur. Het SHA2-algoritme staat bovenaan de lijst en vervolgens wordt SHA1 vermeld voor achterwaartse compatibiliteit.
Server en client onderhandelen en degene die overeenkomt in de lijst wordt geselecteerd. Dus als klanten op de hoogte worden gehouden met kex-algoritmen, dan zullen er geen verdere problemen zijn en is er geen sprake van diffie-hellman met SHA1 die als kex-algoritme wordt geselecteerd.
Onefs heeft het verwijderd in de nieuwste versie (8.2.2 hierboven)
We zijn niet kwetsbaar of beïnvloed door deze algoritmen.
Onefs 8.1.2 is niet kwetsbaar of wordt niet beïnvloed door diffie-hellman-group-exchange-sha1:
SHA1 indien gebruikt omdat het ondertekeningsalgoritme een probleem veroorzaakt. Het handtekeningalgoritme dat door TLS wordt gebruikt, is SHA256 met RSA.
In SSH gebruiken we diffie-hellman met sha1 in het kex-algoritme. Maar die algoritmen worden geselecteerd in de geordende voorkeur. Het SHA2-algoritme staat bovenaan de lijst en vervolgens wordt SHA1 vermeld voor achterwaartse compatibiliteit.
Server en client onderhandelen en degene die overeenkomt in de lijst wordt geselecteerd. Dus als klanten op de hoogte worden gehouden met kex-algoritmen, dan zullen er geen verdere problemen zijn en is er geen sprake van diffie-hellman met SHA1 die als kex-algoritme wordt geselecteerd.
Onefs heeft het verwijderd in de nieuwste versie (8.2.2 hierboven)
Résolution
Als u het moet verwijderen van 8.1.2 of niet kunt upgraden naar OneFS 8.2.2 of hoger, is dit de tijdelijke oplossing om zwakke kex-algoritmen te verwijderen:
Controleer de kex-algoritmen van Onefs 8.2.2, dit zwakke kex-algoritme is verwijderd:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Wijzig indien aanwezig de ssh-configuratie om deze te verwijderen uit de toegestane kex-algoritmen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start de SSHD-service opnieuw:
# isi_for_array 'killall -HUP sshd'
Controleer de kex-algoritmen van Onefs 8.2.2, dit zwakke kex-algoritme is verwijderd:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Wijzig indien aanwezig de ssh-configuratie om deze te verwijderen uit de toegestane kex-algoritmen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start de SSHD-service opnieuw:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.