Dell Networking: OS10 schwacher SSH-RSA-Algorithmus

Résumé: Das Problem ist ein schwacher ssh-rsa-Algorithmus, der von nmap auf dem S4148F-ON-Switch von Dell mit Firmware-Version 10.5.6.6 erkannt wurde. Kunden meldeten diese Sicherheitslücke und baten um eine Lösung, um den schwachen Algorithmus zu deaktivieren. Das Sicherheitsteam bestätigte, dass ssh-rsa aus Gründen der Abwärtskompatibilität weiterhin in OpenSSH unterstützt wird, empfahl jedoch, es aus der Standardliste zu entfernen. ...

Cet article concerne Cet article ne concerne pas Cet article n’est associé à aucun produit spécifique. Toutes les versions du produit ne sont pas identifiées dans cet article.
Consulter d’autres ressources

Symptômes

  • Nmap-Scan-Tool erkennt schwachen ssh-rsa-Algorithmus, der verwendet wird
  • Der Kunde kann den OS10-Befehl zum Deaktivieren des Algorithmus nicht finden.

Cause

Die Hauptursache ist das Vorhandensein des Algorithmus ssh-rsa in der Liste der unterstützten Algorithmen des Serverhostschlüssels, der als schwach und anfällig angesehen wird.

Résolution

Korrigierte Version: Die Zielversion für die Korrektur ist 10.6.0.2.

Problemumgehung: Kunden können stärkere Hostschlüsselalgorithmen wie rsa-sha2-512 und ssh-ed25519 verwenden.

Nächste Schritte: Erweitern Sie die IP-SSH-Server-CLI mit der Option HostKeyAlgorithms, um den Standardalgorithmus zu konfigurieren.

Beispielprotokolle

nmap --script ssh2-enum-algos <switch ip address>
Starting Nmap 7.80 ( https://nmap.org ) at 2024-11-25 11:47 IST
Nmap scan report for 100.104.93.82
Host is up (0.0034s latency).
Not shown: 999 closed ports
PORT   STATE SERVICE
22/tcp open  ssh
ssh2-enum-algos: 
  kex_algorithms: (4) curve25519-sha256 curve25519-sha256@libssh.org ecdh-sha2-nistp384 kex-strict-s-v00@openssh.com
  server_host_key_algorithms: (5) ssh-rsa rsa-sha2-256 rsa-sha2-512 ecdsa-sha2-nistp256 ssh-ed25519
  encryption_algorithms: (2) aes256-ctr aes256-gcm@openssh.com
  mac_algorithms: (3) umac-128@openssh.com hmac-sha2-256 hmac-sha2-512
  compression_algorithms: (2) none zlib@openssh.com
Nmap done: 1 IP address (1 host up) scanned in 0.47 seconds

 

NMAP-Ausgaben bei Verwendung gegenüber einem OS10-Switch:

Befehlszeilen-NMAP-Ausgaben, wenn sie für einen OS10-Switch verwendet werden

Informations supplémentaires

Zugehöriger Wissensdatenbank-Artikel 000242118 – So entfernen Sie den SSH-RSA-Hostschlüssel von Dell Switches, die mit OS10-Firmware ausgeführt werden.

Propriétés de l’article
Numéro d’article: 000275289
Type d’article: Solution
Dernière modification: 17 sept. 2025
Version:  2
Trouvez des réponses à vos questions auprès d’autres utilisateurs Dell
Services de support
Vérifiez si votre appareil est couvert par les services de support.