PowerScale: Der SSH-Schlüsselaustauschalgorithmus wird von Sicherheitslückenscannern markiert: diffie-hellman-group1-sha1
Résumé: In diesem Artikel wird beschrieben, wie Sie diese Sicherheitslücke für Isilon beheben können, die zwar nicht kritisch ist, aber bei Sicherheitsüberprüfungen möglicherweise als schwache Verschlüsselung angezeigt wird. ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
SSHD-Schlüsselaustauschalgorithmen.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Cause
Wenn der SSH-Client dieselben schwachen KEX-Algorithmen verwendet, um Isilon über SSH zu verbinden, kann der Client vertrauliche Informationen preisgeben. In diesem Fall sind die Auswirkungen von Isilon/Client geringer.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Résolution
Wenn Sie es aus 8.1.2 entfernen müssen oder kein Upgrade auf OneFS 8.2.2 oder höher durchführen können, ist dies die Problemumgehung, um schwache KEX-Algorithmen zu entfernen:
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.