PowerScale : L’algorithme d’échange de clés SSH est signalé par les analyseurs de failles de sécurité : diffie-hellman-group1-sha1
Résumé: Cet article explique comment corriger cette vulnérabilité pour Isilon, qui n’est pas critique, mais peut apparaître dans les analyses de vulnérabilité comme un chiffrement faible.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Algorithmes d’échange de clés SSHD.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Cause
Lorsque le client ssh utilise les mêmes algorithmes kex faibles pour connecter Isilon via ssh, le client peut exposer des informations sensibles. Dans ce cas, il s’agit d’un impact moindre d’Isilon/Client.
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Résolution
Si vous devez le supprimer de la version 8.1.2 ou si vous ne pouvez pas effectuer la mise à niveau vers OneFS 8.2.2 ou une version ultérieure, voici la solution de contournement pour supprimer les algorithmes kex faibles :
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.