PowerScale: SSH Key Exchange Algorithm markeres af sikkerhedssårbarhedsscannere: diffie-hellman-group1-sha1
Sammendrag: I denne artikel beskrives, hvordan du afhjælper denne svaghed i Isilon, som ikke er kritisk, men som kan forekomme i scanninger af sikkerhedsrisici som en svag kode.
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
SSHD-nøgleudvekslingsalgoritmer.
Onefs aktiverede nøgleudvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er markeret som en sårbarhed af scanneren.
Følgende beskrivelse vises muligvis i en rapport over scanning efter sikkerhedsrisici:
Sikkerhedsrisiko: Udfasede SSH-kryptografiske indstillinger
TRUSSEL: SSH-protokollen (Secure Shell) er en metode til sikker fjernlogin fra en computer til en anden. Målet bruger forældede SSH-kryptografiske indstillinger til at kommunikere.
INDVIRKNING: En man-in-the-middle-angriber kan muligvis udnytte denne sårbarhed til at registrere kommunikationen for at dekryptere sessionsnøglen og endda meddelelserne.
LØSNING: Undgå at bruge forældede kryptografiske indstillinger. Brug bedste praksis ved konfiguration af SSH.
Onefs aktiverede nøgleudvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er markeret som en sårbarhed af scanneren.
Følgende beskrivelse vises muligvis i en rapport over scanning efter sikkerhedsrisici:
Sikkerhedsrisiko: Udfasede SSH-kryptografiske indstillinger
TRUSSEL: SSH-protokollen (Secure Shell) er en metode til sikker fjernlogin fra en computer til en anden. Målet bruger forældede SSH-kryptografiske indstillinger til at kommunikere.
INDVIRKNING: En man-in-the-middle-angriber kan muligvis udnytte denne sårbarhed til at registrere kommunikationen for at dekryptere sessionsnøglen og endda meddelelserne.
LØSNING: Undgå at bruge forældede kryptografiske indstillinger. Brug bedste praksis ved konfiguration af SSH.
Årsak
Når ssh-klienten bruger de samme svage kex-algoritmer til at forbinde Isilon via ssh, kan klienten eksponere følsomme oplysninger. I dette tilfælde påvirker dette Isilon/klienten mindre.
Vi er ikke sårbare eller påvirket af disse algoritmer.
Onefs 8.1.2 er ikke sårbar eller påvirket af diffie-hellman-group-exchange-sha1:SHA1,
hvis den bruges, da signeringsalgoritmen forårsager et problem. Signaturalgoritmen, der bruges af TLS, er SHA256 med RSA.
I SSH bruger vi diffie-hellman med sha1 i kex-algoritme. Men disse algoritmer vælges i den ordnede præference. SHA2-algoritmen findes øverst på listen, og derefter vises SHA1 for bagudkompatibilitet.
Server og klient forhandler, og den, der matcher på listen, vælges. Så hvis klienter holdes opdateret med kex-algoritmer, vil der ikke være yderligere problemer og intet spørgsmål om, at diffie-hellman med SHA1 vælges som kex-algoritme.
Onefs fjernet det i seneste version (8.2.2 ovenfor)
Vi er ikke sårbare eller påvirket af disse algoritmer.
Onefs 8.1.2 er ikke sårbar eller påvirket af diffie-hellman-group-exchange-sha1:SHA1,
hvis den bruges, da signeringsalgoritmen forårsager et problem. Signaturalgoritmen, der bruges af TLS, er SHA256 med RSA.
I SSH bruger vi diffie-hellman med sha1 i kex-algoritme. Men disse algoritmer vælges i den ordnede præference. SHA2-algoritmen findes øverst på listen, og derefter vises SHA1 for bagudkompatibilitet.
Server og klient forhandler, og den, der matcher på listen, vælges. Så hvis klienter holdes opdateret med kex-algoritmer, vil der ikke være yderligere problemer og intet spørgsmål om, at diffie-hellman med SHA1 vælges som kex-algoritme.
Onefs fjernet det i seneste version (8.2.2 ovenfor)
Oppløsning
Hvis du har brug for at fjerne det fra 8.1.2 eller ikke kan opgradere til OneFS 8.2.2 eller nyere, er dette løsningen til at fjerne svage kex-algoritmer:
Kontroller kex-algoritmer i Onefs 8.2.2, denne svage kex-algoritme er blevet fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis den findes, skal du ændre ssh-konfigurationen for at fjerne den fra kex-algoritmer tilladt.
# isi ssh ændre --kex-algoritmer = curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Genstart SSHD-tjenesten:
# isi_for_array 'killall -HUP sshd'
Kontroller kex-algoritmer i Onefs 8.2.2, denne svage kex-algoritme er blevet fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis den findes, skal du ændre ssh-konfigurationen for at fjerne den fra kex-algoritmer tilladt.
# isi ssh ændre --kex-algoritmer = curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Genstart SSHD-tjenesten:
# isi_for_array 'killall -HUP sshd'
Berørte produkter
PowerScale OneFSArtikkelegenskaper
Artikkelnummer: 000195307
Artikkeltype: Solution
Sist endret: 07 sep. 2022
Versjon: 3
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.