PowerScale: SSH Anahtar Değişimi Algoritması, güvenlik açığı tarayıcıları tarafından işaretlendi: diffie-hellman-group1-sha1
Résumé: Bu makalede, kritik olmayan ancak güvenlik açığı taramalarında zayıf bir şifre olarak görülebilen Isilon için bu güvenlik açığının nasıl düzeltileceği açıklanmaktadır.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
SSHD Anahtar Değişimi Algoritmaları.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Cause
SSH istemcisi Isilon'a SSH aracılığıyla bağlanmak için aynı zayıf kex algoritmalarını kullandığında istemci hassas bilgileri açığa çıkarabilir. Bu durumda bu, Isilon/Müşteri üzerinde daha az etki sağlar.
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Résolution
Bunu 8.1.2'den kaldırmanız gerekiyorsa veya OneFS 8.2.2 veya sonraki bir sürüme yükseltemiyorsanız zayıf kex algoritmalarını kaldırmak için geçici çözüm şu şekildedir:
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.