PowerScale: SSH Key Exchange Algorithm flaggas av skannrar för säkerhetsbrister: diffie-hellman-group1-sha1
Résumé: I den här artikeln beskrivs hur du åtgärdar det här säkerhetsproblemet för Isilon, som inte är kritiskt men som kan visas som ett svagt chiffer i sårbarhetsgenomsökningar.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
SSHD-algoritmer för nyckelutbyte.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Cause
När ssh-klienten använder samma svaga kex-algoritmer för att ansluta Isilon via ssh kan klienten exponera känslig information. I det här fallet är detta mindre påverkan av Isilon/Client.
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Résolution
Om du behöver ta bort den från 8.1.2 eller inte kan uppgradera till OneFS 8.2.2 eller senare är detta lösningen för att ta bort svaga kex-algoritmer:
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.