PowerScale: Algorytm wymiany kluczy SSH jest oznaczony przez skanery luk w zabezpieczeniach: diffie-hellman-group1-sha1
Résumé: W tym artykule opisano, jak naprawić tę lukę w zabezpieczeniach Isilon, która nie jest krytyczna, ale może pojawiać się w skanowaniu luk jako słaby szyfr.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Algorytmy wymiany kluczy SSHD.
Onefs włączył algorytmy wymiany kluczy diffie-hellman-group-exchange-sha1, który jest oznaczony przez skaner jako luka w zabezpieczeniach.
W raporcie skanowania luk w zabezpieczeniach może pojawić się następujący opis:
Luka w zabezpieczeniach: Przestarzałe ustawienia
kryptograficzne SSHZAGROŻENIE: Protokół SSH (Secure Shell) to metoda bezpiecznego zdalnego logowania z jednego komputera na drugi. Cel używa przestarzałych ustawień kryptograficznych SSH do komunikacji.
WPŁYW: Osoba atakująca typu man-in-the-middle może być w stanie wykorzystać tę lukę do nagrania komunikacji w celu odszyfrowania klucza sesji, a nawet wiadomości.
ROZWIĄZANIE: Unikaj używania przestarzałych ustawień kryptograficznych. Podczas konfigurowania protokołu SSH należy kierować się najlepszymi rozwiązaniami.
Onefs włączył algorytmy wymiany kluczy diffie-hellman-group-exchange-sha1, który jest oznaczony przez skaner jako luka w zabezpieczeniach.
W raporcie skanowania luk w zabezpieczeniach może pojawić się następujący opis:
Luka w zabezpieczeniach: Przestarzałe ustawienia
kryptograficzne SSHZAGROŻENIE: Protokół SSH (Secure Shell) to metoda bezpiecznego zdalnego logowania z jednego komputera na drugi. Cel używa przestarzałych ustawień kryptograficznych SSH do komunikacji.
WPŁYW: Osoba atakująca typu man-in-the-middle może być w stanie wykorzystać tę lukę do nagrania komunikacji w celu odszyfrowania klucza sesji, a nawet wiadomości.
ROZWIĄZANIE: Unikaj używania przestarzałych ustawień kryptograficznych. Podczas konfigurowania protokołu SSH należy kierować się najlepszymi rozwiązaniami.
Cause
Gdy klient ssh używa tych samych słabych algorytmów kex do łączenia się z Isilon przez ssh, klient może ujawnić poufne informacje. W tym przypadku wpływ Isilon/klienta jest mniejszy.
Te algorytmy nie są dla nas podatne na ataki ani nie mają na nas wpływu.
Onefs 8.1.2 nie jest podatny na ataki ani nie ma na niego wpływu diffie-hellman-group-exchange-sha1:SHA1,
jeśli jest używany jako algorytm podpisywania powoduje problem. Algorytm podpisu używany przez protokół TLS to SHA256 z RSA.
W SSH używamy diffie-hellmana z sha1 w algorytmie kex. Ale te algorytmy są wybierane zgodnie z uporządkowanymi preferencjami. Algorytm SHA2 znajduje się na górze listy, a następnie SHA1 są wymienione w celu zapewnienia zgodności z poprzednimi wersjami.
Serwer i klient negocjują i wybierany jest ten, który pasuje do listy. Jeśli więc klienci będą na bieżąco informowani o algorytmach kex, nie będzie dalszych problemów i nie będzie mowy o diffie-hellmanie z SHA1 wybranym jako algorytm kex.
Onefs usunął go w najnowszej wersji (8.2.2 powyżej)
Te algorytmy nie są dla nas podatne na ataki ani nie mają na nas wpływu.
Onefs 8.1.2 nie jest podatny na ataki ani nie ma na niego wpływu diffie-hellman-group-exchange-sha1:SHA1,
jeśli jest używany jako algorytm podpisywania powoduje problem. Algorytm podpisu używany przez protokół TLS to SHA256 z RSA.
W SSH używamy diffie-hellmana z sha1 w algorytmie kex. Ale te algorytmy są wybierane zgodnie z uporządkowanymi preferencjami. Algorytm SHA2 znajduje się na górze listy, a następnie SHA1 są wymienione w celu zapewnienia zgodności z poprzednimi wersjami.
Serwer i klient negocjują i wybierany jest ten, który pasuje do listy. Jeśli więc klienci będą na bieżąco informowani o algorytmach kex, nie będzie dalszych problemów i nie będzie mowy o diffie-hellmanie z SHA1 wybranym jako algorytm kex.
Onefs usunął go w najnowszej wersji (8.2.2 powyżej)
Résolution
Jeśli musisz usunąć go z wersji 8.1.2 lub nie możesz uaktualnić do OneFS 8.2.2 lub nowszego, jest to obejście, aby usunąć słabe algorytmy kex:
Sprawdź algorytmy kex Onefs 8.2.2, ten słaby algorytm kex został usunięty:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jeśli jest obecny, zmodyfikuj konfigurację ssh, aby usunąć ją z dozwolonych algorytmów kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Uruchom ponownie usługę SSHD:
# isi_for_array 'killall -HUP sshd'
Sprawdź algorytmy kex Onefs 8.2.2, ten słaby algorytm kex został usunięty:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jeśli jest obecny, zmodyfikuj konfigurację ssh, aby usunąć ją z dozwolonych algorytmów kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Uruchom ponownie usługę SSHD:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.