PowerScale: Алгоритм обміну ключами SSH позначається сканерами вразливостей безпеки: diffie-hellman-group1-sha1
Résumé: У цій статті описано, як виправити цю вразливість для Isilon, яка не є критичною, але може з'явитися під час сканування вразливостей як слабкий шифр.
Cet article concerne
Cet article ne concerne pas
Cet article n’est associé à aucun produit spécifique.
Toutes les versions du produit ne sont pas identifiées dans cet article.
Symptômes
Алгоритми обміну ключами SSHD.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Cause
Якщо клієнт ssh використовує ті самі слабкі алгоритми kex для з'єднання Isilon за допомогою ssh, клієнт може розкрити конфіденційні дані. У цьому випадку це менший вплив Ісілона/Клієнта.
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Résolution
Якщо вам потрібно вилучити його з версії 8.1.2 або ви не можете оновитися до OneFS 8.2.2 або новішої версії, ось обхідний шлях для вилучення слабких алгоритмів kex:
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Produits concernés
PowerScale OneFSPropriétés de l’article
Numéro d’article: 000195307
Type d’article: Solution
Dernière modification: 07 sept. 2022
Version: 3
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.