PowerScale:SSHキー交換アルゴリズムにセキュリティ脆弱性スキャナーによってフラグが設定されています:diffie-hellman-group1-sha1
Résumé: この記事では、Isilonのこの脆弱性を修正する方法について説明します。これは重大ではありませんが、脆弱性スキャンでは弱い暗号として表示される場合があります。
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
SSHDキー交換アルゴリズム。
OneFSでは、キー交換アルゴリズムdiffie-hellman-group-exchange-sha1が有効になっていましたが、これはスキャナーによって脆弱性としてマークされています。
脆弱性スキャン レポートには、次の説明が表示される場合があります。
脆弱性: 廃止されたSSH暗号形式設定
の脅威: SSHプロトコル(Secure Shell)は、あるコンピューターから別のコンピューターに安全にリモートログインする方法です。ターゲットは、非推奨のSSH暗号形式設定を使用して通信しています。
影響:中間者攻撃者は、この脆弱性を悪用して通信を記録し、セッションキーやメッセージを復号化できる可能性があります。
ソリューション:非推奨の暗号化設定は使用しないでください。SSHを構成する場合は、ベスト プラクティスを使用します。
OneFSでは、キー交換アルゴリズムdiffie-hellman-group-exchange-sha1が有効になっていましたが、これはスキャナーによって脆弱性としてマークされています。
脆弱性スキャン レポートには、次の説明が表示される場合があります。
脆弱性: 廃止されたSSH暗号形式設定
の脅威: SSHプロトコル(Secure Shell)は、あるコンピューターから別のコンピューターに安全にリモートログインする方法です。ターゲットは、非推奨のSSH暗号形式設定を使用して通信しています。
影響:中間者攻撃者は、この脆弱性を悪用して通信を記録し、セッションキーやメッセージを復号化できる可能性があります。
ソリューション:非推奨の暗号化設定は使用しないでください。SSHを構成する場合は、ベスト プラクティスを使用します。
Cause
sshクライアントが同じ弱いkexアルゴリズムを使用してssh経由でIsilonに接続すると、クライアントは機密情報を漏洩する可能性があります。この場合、これはIsilon/クライアントの影響が小さくなります。
私たちは、これらのアルゴリズムによって脆弱になったり、影響を受けたりすることはありません。
OneFS 8.1.2は、署名アルゴリズムとして使用すると問題が発生する場合、脆弱ではなく、diffie-hellman-group-exchange-sha1:
SHA1の影響を受けません。TLSで使用されている署名アルゴリズムは、RSAを使用したSHA256です。
SSH では、kex アルゴリズムで sha1 で diffie-hellman を使用します。ただし、これらのアルゴリズムは順序付けされた設定で選択されます。SHA2アルゴリズムがリストの一番上に表示され、SHA1は下位互換性のためにリストされています。
サーバーとクライアントがネゴシエートし、リスト内で一致するものが選択されます。したがって、クライアントが kex アルゴリズムで更新され続けていれば、それ以上の問題はなく、SHA1 が kex アルゴリズムとして選択された diffie-hellman の問題もありません。
OneFSは最新バージョン(上記の8.2.2)でこれを削除しました
私たちは、これらのアルゴリズムによって脆弱になったり、影響を受けたりすることはありません。
OneFS 8.1.2は、署名アルゴリズムとして使用すると問題が発生する場合、脆弱ではなく、diffie-hellman-group-exchange-sha1:
SHA1の影響を受けません。TLSで使用されている署名アルゴリズムは、RSAを使用したSHA256です。
SSH では、kex アルゴリズムで sha1 で diffie-hellman を使用します。ただし、これらのアルゴリズムは順序付けされた設定で選択されます。SHA2アルゴリズムがリストの一番上に表示され、SHA1は下位互換性のためにリストされています。
サーバーとクライアントがネゴシエートし、リスト内で一致するものが選択されます。したがって、クライアントが kex アルゴリズムで更新され続けていれば、それ以上の問題はなく、SHA1 が kex アルゴリズムとして選択された diffie-hellman の問題もありません。
OneFSは最新バージョン(上記の8.2.2)でこれを削除しました
Résolution
8.1.2から削除する必要がある場合、またはOneFS 8.2.2以降にアップグレードできない場合、これは弱いkexアルゴリズムを削除するための回避策です:
Onefs 8.2.2のkexアルゴリズムを確認します。この弱いkexアルゴリズムは削除されています:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
存在する場合は、ssh設定を変更して、許可されているkexアルゴリズムから削除します。
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
SSHDサービスを再起動します:
# isi_for_array 'killall -HUP sshd'
Onefs 8.2.2のkexアルゴリズムを確認します。この弱いkexアルゴリズムは削除されています:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
存在する場合は、ssh設定を変更して、許可されているkexアルゴリズムから削除します。
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
SSHDサービスを再起動します:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.