PowerScale: O algoritmo de troca de chaves SSH é sinalizado pelos scanners de vulnerabilidade de segurança: diffie-hellman-group1-sha1
Résumé: Este artigo descreve como corrigir essa vulnerabilidade no Isilon, que não é crítica, mas pode aparecer em verificações de vulnerabilidade como uma cifra fraca.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Algoritmos de troca de chaves SSHD.
O Onefs habilitou algoritmos de troca de chaves diffie-hellman-group-exchange-sha1, que é marcado como uma vulnerabilidade pelo scanner.
A seguinte descrição pode aparecer em um relatório de verificação de vulnerabilidade:
Vulnerabilidade: Configurações
criptográficas SSH obsoletasAMEAÇA: O protocolo SSH (Secure Shell) é um método de log-in remoto seguro de um computador para outro. O destino está usando configurações criptográficas SSH obsoletas para se comunicar.
IMPACTO: Um invasor intermediário pode explorar essa vulnerabilidade para gravar a comunicação e descriptografar a chave da sessão e até mesmo as mensagens.
SOLUÇÃO: Evite usar configurações criptográficas obsoletas. Use as práticas recomendadas ao configurar o SSH.
O Onefs habilitou algoritmos de troca de chaves diffie-hellman-group-exchange-sha1, que é marcado como uma vulnerabilidade pelo scanner.
A seguinte descrição pode aparecer em um relatório de verificação de vulnerabilidade:
Vulnerabilidade: Configurações
criptográficas SSH obsoletasAMEAÇA: O protocolo SSH (Secure Shell) é um método de log-in remoto seguro de um computador para outro. O destino está usando configurações criptográficas SSH obsoletas para se comunicar.
IMPACTO: Um invasor intermediário pode explorar essa vulnerabilidade para gravar a comunicação e descriptografar a chave da sessão e até mesmo as mensagens.
SOLUÇÃO: Evite usar configurações criptográficas obsoletas. Use as práticas recomendadas ao configurar o SSH.
Cause
Quando o client ssh usa os mesmos algoritmos kex fracos para conectar o Isilon via ssh, o client pode expor informações confidenciais. Nesse caso, isso é menos impacto do Isilon/Client.
Não somos vulneráveis ou afetados por esses algoritmos.
O Onefs 8.1.2 não é vulnerável ou afetado por diffie-hellman-group-exchange-sha1:
SHA1 se usado como algoritmo de assinatura causa um problema. O algoritmo de assinatura que está sendo usado pelo TLS é SHA256 com RSA.
Em SSH usamos diffie-hellman com sha1 no algoritmo kex. Mas esses algoritmos são selecionados na preferência ordenada. O algoritmo SHA2 está presente na parte superior da lista e, em seguida, os SHA1 são listados para compatibilidade reversa.
Servidor e client negociam e o que corresponde na lista é selecionado. Então, se os clientes forem mantidos atualizados com algoritmos kex, então não haverá mais problemas e nenhuma questão de diffie-hellman com SHA1 sendo selecionado como algoritmo kex.
O Onefs removeu-o na versão mais recente (8.2.2 acima)
Não somos vulneráveis ou afetados por esses algoritmos.
O Onefs 8.1.2 não é vulnerável ou afetado por diffie-hellman-group-exchange-sha1:
SHA1 se usado como algoritmo de assinatura causa um problema. O algoritmo de assinatura que está sendo usado pelo TLS é SHA256 com RSA.
Em SSH usamos diffie-hellman com sha1 no algoritmo kex. Mas esses algoritmos são selecionados na preferência ordenada. O algoritmo SHA2 está presente na parte superior da lista e, em seguida, os SHA1 são listados para compatibilidade reversa.
Servidor e client negociam e o que corresponde na lista é selecionado. Então, se os clientes forem mantidos atualizados com algoritmos kex, então não haverá mais problemas e nenhuma questão de diffie-hellman com SHA1 sendo selecionado como algoritmo kex.
O Onefs removeu-o na versão mais recente (8.2.2 acima)
Résolution
Se você precisar removê-lo da versão 8.1.2 ou não puder fazer upgrade para o OneFS 8.2.2 ou posterior, esta é a solução temporária para remover algoritmos kex fracos:
Verifique os algoritmos kex do Onefs 8.2.2, esse algoritmo kex fraco foi removido:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se houver, modifique a configuração ssh para removê-la dos algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie o serviço SSHD:
# isi_for_array 'killall -HUP sshd'
Verifique os algoritmos kex do Onefs 8.2.2, esse algoritmo kex fraco foi removido:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se houver, modifique a configuração ssh para removê-la dos algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie o serviço SSHD:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.