PowerScale: SSH Key Exchange Algorithm markeres af sikkerhedssårbarhedsscannere: diffie-hellman-group1-sha1
Résumé: I denne artikel beskrives, hvordan du afhjælper denne svaghed i Isilon, som ikke er kritisk, men som kan forekomme i scanninger af sikkerhedsrisici som en svag kode.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
SSHD-nøgleudvekslingsalgoritmer.
Onefs aktiverede nøgleudvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er markeret som en sårbarhed af scanneren.
Følgende beskrivelse vises muligvis i en rapport over scanning efter sikkerhedsrisici:
Sikkerhedsrisiko: Udfasede SSH-kryptografiske indstillinger
TRUSSEL: SSH-protokollen (Secure Shell) er en metode til sikker fjernlogin fra en computer til en anden. Målet bruger forældede SSH-kryptografiske indstillinger til at kommunikere.
INDVIRKNING: En man-in-the-middle-angriber kan muligvis udnytte denne sårbarhed til at registrere kommunikationen for at dekryptere sessionsnøglen og endda meddelelserne.
LØSNING: Undgå at bruge forældede kryptografiske indstillinger. Brug bedste praksis ved konfiguration af SSH.
Onefs aktiverede nøgleudvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er markeret som en sårbarhed af scanneren.
Følgende beskrivelse vises muligvis i en rapport over scanning efter sikkerhedsrisici:
Sikkerhedsrisiko: Udfasede SSH-kryptografiske indstillinger
TRUSSEL: SSH-protokollen (Secure Shell) er en metode til sikker fjernlogin fra en computer til en anden. Målet bruger forældede SSH-kryptografiske indstillinger til at kommunikere.
INDVIRKNING: En man-in-the-middle-angriber kan muligvis udnytte denne sårbarhed til at registrere kommunikationen for at dekryptere sessionsnøglen og endda meddelelserne.
LØSNING: Undgå at bruge forældede kryptografiske indstillinger. Brug bedste praksis ved konfiguration af SSH.
Cause
Når ssh-klienten bruger de samme svage kex-algoritmer til at forbinde Isilon via ssh, kan klienten eksponere følsomme oplysninger. I dette tilfælde påvirker dette Isilon/klienten mindre.
Vi er ikke sårbare eller påvirket af disse algoritmer.
Onefs 8.1.2 er ikke sårbar eller påvirket af diffie-hellman-group-exchange-sha1:SHA1,
hvis den bruges, da signeringsalgoritmen forårsager et problem. Signaturalgoritmen, der bruges af TLS, er SHA256 med RSA.
I SSH bruger vi diffie-hellman med sha1 i kex-algoritme. Men disse algoritmer vælges i den ordnede præference. SHA2-algoritmen findes øverst på listen, og derefter vises SHA1 for bagudkompatibilitet.
Server og klient forhandler, og den, der matcher på listen, vælges. Så hvis klienter holdes opdateret med kex-algoritmer, vil der ikke være yderligere problemer og intet spørgsmål om, at diffie-hellman med SHA1 vælges som kex-algoritme.
Onefs fjernet det i seneste version (8.2.2 ovenfor)
Vi er ikke sårbare eller påvirket af disse algoritmer.
Onefs 8.1.2 er ikke sårbar eller påvirket af diffie-hellman-group-exchange-sha1:SHA1,
hvis den bruges, da signeringsalgoritmen forårsager et problem. Signaturalgoritmen, der bruges af TLS, er SHA256 med RSA.
I SSH bruger vi diffie-hellman med sha1 i kex-algoritme. Men disse algoritmer vælges i den ordnede præference. SHA2-algoritmen findes øverst på listen, og derefter vises SHA1 for bagudkompatibilitet.
Server og klient forhandler, og den, der matcher på listen, vælges. Så hvis klienter holdes opdateret med kex-algoritmer, vil der ikke være yderligere problemer og intet spørgsmål om, at diffie-hellman med SHA1 vælges som kex-algoritme.
Onefs fjernet det i seneste version (8.2.2 ovenfor)
Résolution
Hvis du har brug for at fjerne det fra 8.1.2 eller ikke kan opgradere til OneFS 8.2.2 eller nyere, er dette løsningen til at fjerne svage kex-algoritmer:
Kontroller kex-algoritmer i Onefs 8.2.2, denne svage kex-algoritme er blevet fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis den findes, skal du ændre ssh-konfigurationen for at fjerne den fra kex-algoritmer tilladt.
# isi ssh ændre --kex-algoritmer = curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Genstart SSHD-tjenesten:
# isi_for_array 'killall -HUP sshd'
Kontroller kex-algoritmer i Onefs 8.2.2, denne svage kex-algoritme er blevet fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis den findes, skal du ændre ssh-konfigurationen for at fjerne den fra kex-algoritmer tilladt.
# isi ssh ændre --kex-algoritmer = curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Genstart SSHD-tjenesten:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.