Avamar - L’analyseur réseau signale une faille de sécurité OpenSSH sur le proxy Avamar
Résumé: Avamar - L’analyseur réseau signale une faille de sécurité OpenSSH sur le proxy Avamar.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Une analyseuse de sécurité réseau a identifié les problèmes suivants avec le service OpenSSH du proxy Avamar :
1.CVE-2016-2183 - « SSH Birthday attacks on 64-bit block chiffrhers (SWEET32) »
2.CVE-2016-10009, CVE-2016-10010, CVE-2016-10011, CVE-2016-10012, CVE-2016-8858 - « Plusieurs vulnérabilités dans OpenSSH 7.4 qui ne sont pas installées sur le système ».
Cause
Sur la base des informations disponibles, il est probable que ces résultats soient des faux positifs.
1. Le chiffrement /etc/ssh/sshd_config sur le proxy n’a PAS de chiffrement DES/3DES activé.
2. Le proxy Avamar s’exécute sur SUSE Linux Enterprise Server 12 SP5 (ou SLES12 SP4 dans les versions antérieures du proxy) et est équipé d’OpenSSH version 7.2.
D’après la documentation fournie dans la section « Informations supplémentaires » de cet article de la base de connaissances, ce n’est pas vulnérable.
1. Le chiffrement /etc/ssh/sshd_config sur le proxy n’a PAS de chiffrement DES/3DES activé.
2. Le proxy Avamar s’exécute sur SUSE Linux Enterprise Server 12 SP5 (ou SLES12 SP4 dans les versions antérieures du proxy) et est équipé d’OpenSSH version 7.2.
D’après la documentation fournie dans la section « Informations supplémentaires » de cet article de la base de connaissances, ce n’est pas vulnérable.
Résolution
1. Pour confirmer que le problème de SWEET32 n’est pas présent, vous pouvez essayer de vous connecter au proxy à l’aide d’un chiffrement 3DES. Cette commande peut être exécutée localement sur le proxy ou à distance :
ssh -c 3des-cbc 193proxy.example.com
Remarque : Réglez « 193proxy.example.com » pour le nom d’hôte du proxy ou utilisez localhost si vous exécutez la commande sur le proxy.
La connexion doit échouer, puis le service SSHD affiche les chiffrements autorisés. Voici un exemple de sortie :
Unable to negotiate with ::1 port 22: no matching cipher found. Their offer: aes128-ctr,aes192-ctr,aes256-ctr,aes128-cbc,aes192-cbc,aes256-cbc
2. Pour confirmer que la version du package OpenSSH est supérieure à 7.2p2-74.45.1 run this command:
rpm -qa | grep '^openssh-[7,f]' |sed 's/\.x86_64$//'
Sortie saine :
admin@193proxy:~/>: rpm -qa | grep '^openssh-[7,f]' |sed 's/\.x86_64$//'
openssh-7.2p2-78.7.1
openssh-fips-7.2p2-78.7.1
Informations supplémentaires
Documentation SUSE sur ce problème :
1. Sweet32 - SUSE : CVE-2016-2183
2. Version - SUSE : CVE-2016-10009, CVE-2016-10010, CVE-2016-10011, CVE-2016-10012, CVE-2016-8858
1. Sweet32 - SUSE : CVE-2016-2183
2. Version - SUSE : CVE-2016-10009, CVE-2016-10010, CVE-2016-10011, CVE-2016-10012, CVE-2016-8858
Produits concernés
AvamarPropriétés de l’article
Numéro d’article: 000209421
Type d’article: Solution
Dernière modification: 17 mai 2023
Version: 2
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.