PowerScale: L'algoritmo di scambio chiavi SSH è contrassegnato dagli scanner delle vulnerabilità di sicurezza: diffie-hellman-group1-sha1
Résumé: Questo articolo descrive come risolvere questa vulnerabilità per Isilon, che non è critico, ma potrebbe essere visualizzato nelle analisi delle vulnerabilità come una crittografia debole. ...
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Algoritmi di scambio chiavi SSHD.
Onefs ha abilitato gli algoritmi di scambio chiavi diffie-hellman-group-exchange-sha1, contrassegnati come vulnerabilità dallo scanner.
In un report di scansione delle vulnerabilità potrebbe essere visualizzata la seguente descrizione:
Vulnerability: Impostazioni
di crittografia SSH obsoleteMINACCIA: Il protocollo SSH (Secure Shell) è un metodo per l'accesso remoto sicuro da un computer a un altro. La destinazione utilizza impostazioni crittografiche SSH obsolete per comunicare.
IMPATTO: Un utente malintenzionato man-in-the-middle può essere in grado di sfruttare questa vulnerabilità per registrare la comunicazione e decrittografare la chiave di sessione e persino i messaggi.
SOLUZIONE: Evitare di utilizzare impostazioni crittografiche obsolete. Utilizzare le best practice durante la configurazione di SSH.
Onefs ha abilitato gli algoritmi di scambio chiavi diffie-hellman-group-exchange-sha1, contrassegnati come vulnerabilità dallo scanner.
In un report di scansione delle vulnerabilità potrebbe essere visualizzata la seguente descrizione:
Vulnerability: Impostazioni
di crittografia SSH obsoleteMINACCIA: Il protocollo SSH (Secure Shell) è un metodo per l'accesso remoto sicuro da un computer a un altro. La destinazione utilizza impostazioni crittografiche SSH obsolete per comunicare.
IMPATTO: Un utente malintenzionato man-in-the-middle può essere in grado di sfruttare questa vulnerabilità per registrare la comunicazione e decrittografare la chiave di sessione e persino i messaggi.
SOLUZIONE: Evitare di utilizzare impostazioni crittografiche obsolete. Utilizzare le best practice durante la configurazione di SSH.
Cause
Quando il client ssh usa gli stessi algoritmi kex deboli per connettere Isilon tramite ssh, il client potrebbe esporre informazioni sensibili. In questo caso, si tratta di un impatto minore di Isilon/client.
Non siamo vulnerabili o influenzati da questi algoritmi.
Onefs 8.1.2 non è vulnerabile o influenzato da diffie-hellman-group-exchange-sha1:
SHA1 se utilizzato come algoritmo di firma causa un problema. L'algoritmo di firma utilizzato da TLS è SHA256 con RSA.
In SSH usiamo diffie-hellman con sha1 nell'algoritmo kex. Ma questi algoritmi vengono selezionati nella preferenza ordinata. L'algoritmo SHA2 è presente in cima all'elenco, quindi SHA1 è elencato per la compatibilità con le versioni precedenti.
Server e client vengono negotiate e viene selezionato quello corrispondente nell'elenco. Quindi, se i client vengono mantenuti aggiornati con gli algoritmi kex, non ci saranno ulteriori problemi e non ci sarà alcuna questione di diffie-hellman con SHA1 selezionato come algoritmo kex.
Onefs lo ha rimosso nell'ultima versione (8.2.2 sopra)
Non siamo vulnerabili o influenzati da questi algoritmi.
Onefs 8.1.2 non è vulnerabile o influenzato da diffie-hellman-group-exchange-sha1:
SHA1 se utilizzato come algoritmo di firma causa un problema. L'algoritmo di firma utilizzato da TLS è SHA256 con RSA.
In SSH usiamo diffie-hellman con sha1 nell'algoritmo kex. Ma questi algoritmi vengono selezionati nella preferenza ordinata. L'algoritmo SHA2 è presente in cima all'elenco, quindi SHA1 è elencato per la compatibilità con le versioni precedenti.
Server e client vengono negotiate e viene selezionato quello corrispondente nell'elenco. Quindi, se i client vengono mantenuti aggiornati con gli algoritmi kex, non ci saranno ulteriori problemi e non ci sarà alcuna questione di diffie-hellman con SHA1 selezionato come algoritmo kex.
Onefs lo ha rimosso nell'ultima versione (8.2.2 sopra)
Résolution
Se è necessario rimuoverlo da 8.1.2 o non è possibile eseguire l'aggiornamento a OneFS 8.2.2 o versioni successive, questa è la soluzione alternativa per rimuovere gli algoritmi kex deboli:
Controllare gli algoritmi kex di Onefs 8.2.2, questo algoritmo kex debole è stato rimosso:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se presente, modificare la configurazione ssh per rimuoverla dagli algoritmi kex consentiti.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Riavviare il servizio SSHD:
# isi_for_array 'killall -HUP sshd'
Controllare gli algoritmi kex di Onefs 8.2.2, questo algoritmo kex debole è stato rimosso:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se presente, modificare la configurazione ssh per rimuoverla dagli algoritmi kex consentiti.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Riavviare il servizio SSHD:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.