PowerScale: Algoritmus výměny klíčů SSH je označen skenery chyb zabezpečení: diffie-hellman-group1-sha1
Sammendrag: Tento článek popisuje, jak napravit tuto chybu zabezpečení pro řešení Isilon, která není kritická, ale může se při skenování zranitelností jevit jako slabá šifra.
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
Algoritmy výměny klíčů SSHD.
Systém Onefs povolil algoritmy výměny klíčů diffie-hellman-group-exchange-sha1, které skener označil jako chybu zabezpečení.
Ve zprávě o kontrole chyb zabezpečení se může objevit následující popis:
Chyba zabezpečení: Zrušená kryptografická nastavení
SSHHRROZBA: Protokol SSH (Secure Shell) je metoda pro bezpečné vzdálené přihlášení z jednoho počítače do druhého. Cíl ke komunikaci používá zastaralá kryptografická nastavení SSH.
DOPAD: Útočník typu man-in-the-middle může tuto chybu zabezpečení zneužít k zaznamenání komunikace a dešifrování klíče relace a dokonce i zpráv.
ŘEŠENÍ: Nepoužívejte zastaralá kryptografická nastavení. Při konfiguraci SSH používejte osvědčené postupy.
Systém Onefs povolil algoritmy výměny klíčů diffie-hellman-group-exchange-sha1, které skener označil jako chybu zabezpečení.
Ve zprávě o kontrole chyb zabezpečení se může objevit následující popis:
Chyba zabezpečení: Zrušená kryptografická nastavení
SSHHRROZBA: Protokol SSH (Secure Shell) je metoda pro bezpečné vzdálené přihlášení z jednoho počítače do druhého. Cíl ke komunikaci používá zastaralá kryptografická nastavení SSH.
DOPAD: Útočník typu man-in-the-middle může tuto chybu zabezpečení zneužít k zaznamenání komunikace a dešifrování klíče relace a dokonce i zpráv.
ŘEŠENÍ: Nepoužívejte zastaralá kryptografická nastavení. Při konfiguraci SSH používejte osvědčené postupy.
Årsak
Pokud klient SSH používá pro připojení řešení Isilon přes SSH stejné slabé algoritmy kex, může klient vystavit citlivé informace. V tomto případě se jedná o menší dopad řešení Isilon/Client.
Nejsme těmito algoritmy zranitelní ani ovlivnění.
Systém Onefs 8.1.2 není ohrožen chybou diffie-hellman-group-exchange-sha1:
SHA1, pokud je použit jako podpisový algoritmus způsobující problém. Algoritmus podpisu používaný protokolem TLS je SHA256 s RSA.
V SSH používáme diffie-hellman s sha1 v kex algoritmu. Tyto algoritmy jsou však vybrány v seřazené předvolbě. Algoritmus SHA2 je uveden v horní části seznamu a poté jsou uvedeny SHA1 kvůli zpětné kompatibilitě.
Server a klient vyjednají a vybere se ten, který odpovídá v seznamu. Pokud jsou tedy klienti průběžně informováni o algoritmech kex, nebudou žádné další problémy a nebude pochyb o tom, že by byl jako algoritmus kex vybrán algoritmus diffie-hellman s SHA1.
Onefs jej v nejnovější verzi odstranil (8.2.2 výše)
Nejsme těmito algoritmy zranitelní ani ovlivnění.
Systém Onefs 8.1.2 není ohrožen chybou diffie-hellman-group-exchange-sha1:
SHA1, pokud je použit jako podpisový algoritmus způsobující problém. Algoritmus podpisu používaný protokolem TLS je SHA256 s RSA.
V SSH používáme diffie-hellman s sha1 v kex algoritmu. Tyto algoritmy jsou však vybrány v seřazené předvolbě. Algoritmus SHA2 je uveden v horní části seznamu a poté jsou uvedeny SHA1 kvůli zpětné kompatibilitě.
Server a klient vyjednají a vybere se ten, který odpovídá v seznamu. Pokud jsou tedy klienti průběžně informováni o algoritmech kex, nebudou žádné další problémy a nebude pochyb o tom, že by byl jako algoritmus kex vybrán algoritmus diffie-hellman s SHA1.
Onefs jej v nejnovější verzi odstranil (8.2.2 výše)
Oppløsning
Pokud jej potřebujete odebrat z verze 8.1.2 nebo nemůžete upgradovat na OneFS 8.2.2 nebo novější, toto je zástupné řešení pro odstranění slabých algoritmů kex:
Zkontrolujte algoritmy kex systému Onefs 8.2.2, tento slabý algoritmus kex byl odstraněn
:# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Pokud je k dispozici, upravte konfiguraci ssh a odeberte ji z povolených algoritmů kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restartujte službu SSHD:
# isi_for_array 'killall -HUP sshd'
Zkontrolujte algoritmy kex systému Onefs 8.2.2, tento slabý algoritmus kex byl odstraněn
:# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Pokud je k dispozici, upravte konfiguraci ssh a odeberte ji z povolených algoritmů kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restartujte službu SSHD:
# isi_for_array 'killall -HUP sshd'
Berørte produkter
PowerScale OneFSArtikkelegenskaper
Artikkelnummer: 000195307
Artikkeltype: Solution
Sist endret: 07 sep. 2022
Versjon: 3
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.