PowerScale. Алгоритм обмена ключами SSH помечен сканерами уязвимостей безопасности: diffie-hellman-group1-sha1
Résumé: В этой статье описано, как устранить эту уязвимость для Isilon, которая не является критической, но может отображаться при сканировании на наличие уязвимостей как слабый шифр.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Алгоритмы обмена ключами SSHD.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Cause
Если клиент SSH использует те же слабые алгоритмы kex для подключения Isilon по протоколу SSH, он может раскрыть конфиденциальную информацию. В этом случае это меньшее влияние Isilon/Client.
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Résolution
Если вам нужно удалить его с версии 8.1.2 или вы не можете выполнить модернизацию до OneFS 8.2.2 или более поздней версии, это временное решение для удаления слабых алгоритмов kex:
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.