PowerScale: SSH-avaimenvaihtoalgoritmi on merkitty tietoturvan haavoittuvuusskannereilla: diffie-hellman-group1-sha1
Résumé: Tässä artikkelissa kuvataan, miten korjataan tämä Isilon-haavoittuvuus, joka ei ole kriittinen, mutta saattaa näkyä heikkona salauksena.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
SSHD-avainten vaihtoalgoritmit.
Onefs otti käyttöön avaintenvaihtoalgoritmit diffie-hellman-group-exchange-sha1, jonka skanneri on merkinnyt haavoittuvuudeksi.
Seuraava kuvaus saattaa näkyä haavoittuvuustarkistusraportissa:
Haavoittuvuus: Vanhentuneet SSH-salausasetukset
UHKA: SSH-protokolla (Secure Shell) on menetelmä turvalliseen etäkirjautumiseen tietokoneesta toiseen. Kohde käyttää vanhentuneet SSH-salausasetukset viestintään.
VAIKUTUS: Mies välissä -hyökkääjä saattaa pystyä hyödyntämään tätä haavoittuvuutta tallentaakseen tietoliikenteen istuntoavaimen ja jopa viestien salauksen purkamiseksi.
RATKAISU: Älä käytä vanhentuneita salausasetuksia. Käytä parhaita käytäntöjä määrittäessäsi SSH:ta.
Onefs otti käyttöön avaintenvaihtoalgoritmit diffie-hellman-group-exchange-sha1, jonka skanneri on merkinnyt haavoittuvuudeksi.
Seuraava kuvaus saattaa näkyä haavoittuvuustarkistusraportissa:
Haavoittuvuus: Vanhentuneet SSH-salausasetukset
UHKA: SSH-protokolla (Secure Shell) on menetelmä turvalliseen etäkirjautumiseen tietokoneesta toiseen. Kohde käyttää vanhentuneet SSH-salausasetukset viestintään.
VAIKUTUS: Mies välissä -hyökkääjä saattaa pystyä hyödyntämään tätä haavoittuvuutta tallentaakseen tietoliikenteen istuntoavaimen ja jopa viestien salauksen purkamiseksi.
RATKAISU: Älä käytä vanhentuneita salausasetuksia. Käytä parhaita käytäntöjä määrittäessäsi SSH:ta.
Cause
Kun ssh-asiakas käyttää samoja heikkoja keks-algoritmeja yhdistääkseen Isilonin ssh:n kautta, asiakas saattaa paljastaa arkaluonteisia tietoja. Tässä tapauksessa Isilonin/Clientin vaikutus on pienempi.
Nämä algoritmit eivät vaikuta meihin.
Diffie-hellman-group-exchange-sha1:
SHA1 ei vaikuta Onefs 8.1.2:een, jos sitä käytetään allekirjoitusalgoritmina, joka aiheuttaa ongelman. TLS:n käyttämä allekirjoitusalgoritmi on SHA256 ja RSA.
SSH: ssa käytämme diffie-hellmania sha1: n kanssa kex -algoritmissa. Mutta nämä algoritmit valitaan järjestyksessä. SHA2-algoritmi on luettelon yläosassa, ja sitten SHA1 on lueteltu taaksepäin yhteensopivuuden vuoksi.
Palvelin ja asiakas neuvottelevat ja luettelossa oleva vaihtoehto valitaan. Joten jos asiakkaita päivitetään kex-algoritmeilla, ei ole enää ongelmia eikä kysymys siitä, että diffie-hellman SHA1: n kanssa valitaan kex -algoritmiksi.
Onefs poisti sen uusimmassa versiossa (8.2.2 yllä)
Nämä algoritmit eivät vaikuta meihin.
Diffie-hellman-group-exchange-sha1:
SHA1 ei vaikuta Onefs 8.1.2:een, jos sitä käytetään allekirjoitusalgoritmina, joka aiheuttaa ongelman. TLS:n käyttämä allekirjoitusalgoritmi on SHA256 ja RSA.
SSH: ssa käytämme diffie-hellmania sha1: n kanssa kex -algoritmissa. Mutta nämä algoritmit valitaan järjestyksessä. SHA2-algoritmi on luettelon yläosassa, ja sitten SHA1 on lueteltu taaksepäin yhteensopivuuden vuoksi.
Palvelin ja asiakas neuvottelevat ja luettelossa oleva vaihtoehto valitaan. Joten jos asiakkaita päivitetään kex-algoritmeilla, ei ole enää ongelmia eikä kysymys siitä, että diffie-hellman SHA1: n kanssa valitaan kex -algoritmiksi.
Onefs poisti sen uusimmassa versiossa (8.2.2 yllä)
Résolution
Jos se on poistettava versiosta 8.1.2 tai sitä ei voi päivittää OneFS 8.2.2 -versioon tai uudempaan, voit kiertää heikot kex-algoritmit seuraavasti:
Tarkista Onefs 8.2.2:n kex-algoritmit, tämä heikko kex-algoritmi on poistettu:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jos sellainen on, muokkaa ssh-kokoonpanoa poistaaksesi sen sallituista kex-algoritmeista.
# isi ssh modify --kex-algorithms=käyrä25519-sha256,käyrä25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Käynnistä SSHD-palvelu uudelleen:
# isi_for_array 'killall -HUP sshd'
Tarkista Onefs 8.2.2:n kex-algoritmit, tämä heikko kex-algoritmi on poistettu:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jos sellainen on, muokkaa ssh-kokoonpanoa poistaaksesi sen sallituista kex-algoritmeista.
# isi ssh modify --kex-algorithms=käyrä25519-sha256,käyrä25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Käynnistä SSHD-palvelu uudelleen:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.