PowerScale: SSH-avaimenvaihtoalgoritmi on merkitty tietoturvan haavoittuvuusskannereilla: diffie-hellman-group1-sha1
Sammendrag: Tässä artikkelissa kuvataan, miten korjataan tämä Isilon-haavoittuvuus, joka ei ole kriittinen, mutta saattaa näkyä heikkona salauksena.
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
SSHD-avainten vaihtoalgoritmit.
Onefs otti käyttöön avaintenvaihtoalgoritmit diffie-hellman-group-exchange-sha1, jonka skanneri on merkinnyt haavoittuvuudeksi.
Seuraava kuvaus saattaa näkyä haavoittuvuustarkistusraportissa:
Haavoittuvuus: Vanhentuneet SSH-salausasetukset
UHKA: SSH-protokolla (Secure Shell) on menetelmä turvalliseen etäkirjautumiseen tietokoneesta toiseen. Kohde käyttää vanhentuneet SSH-salausasetukset viestintään.
VAIKUTUS: Mies välissä -hyökkääjä saattaa pystyä hyödyntämään tätä haavoittuvuutta tallentaakseen tietoliikenteen istuntoavaimen ja jopa viestien salauksen purkamiseksi.
RATKAISU: Älä käytä vanhentuneita salausasetuksia. Käytä parhaita käytäntöjä määrittäessäsi SSH:ta.
Onefs otti käyttöön avaintenvaihtoalgoritmit diffie-hellman-group-exchange-sha1, jonka skanneri on merkinnyt haavoittuvuudeksi.
Seuraava kuvaus saattaa näkyä haavoittuvuustarkistusraportissa:
Haavoittuvuus: Vanhentuneet SSH-salausasetukset
UHKA: SSH-protokolla (Secure Shell) on menetelmä turvalliseen etäkirjautumiseen tietokoneesta toiseen. Kohde käyttää vanhentuneet SSH-salausasetukset viestintään.
VAIKUTUS: Mies välissä -hyökkääjä saattaa pystyä hyödyntämään tätä haavoittuvuutta tallentaakseen tietoliikenteen istuntoavaimen ja jopa viestien salauksen purkamiseksi.
RATKAISU: Älä käytä vanhentuneita salausasetuksia. Käytä parhaita käytäntöjä määrittäessäsi SSH:ta.
Årsak
Kun ssh-asiakas käyttää samoja heikkoja keks-algoritmeja yhdistääkseen Isilonin ssh:n kautta, asiakas saattaa paljastaa arkaluonteisia tietoja. Tässä tapauksessa Isilonin/Clientin vaikutus on pienempi.
Nämä algoritmit eivät vaikuta meihin.
Diffie-hellman-group-exchange-sha1:
SHA1 ei vaikuta Onefs 8.1.2:een, jos sitä käytetään allekirjoitusalgoritmina, joka aiheuttaa ongelman. TLS:n käyttämä allekirjoitusalgoritmi on SHA256 ja RSA.
SSH: ssa käytämme diffie-hellmania sha1: n kanssa kex -algoritmissa. Mutta nämä algoritmit valitaan järjestyksessä. SHA2-algoritmi on luettelon yläosassa, ja sitten SHA1 on lueteltu taaksepäin yhteensopivuuden vuoksi.
Palvelin ja asiakas neuvottelevat ja luettelossa oleva vaihtoehto valitaan. Joten jos asiakkaita päivitetään kex-algoritmeilla, ei ole enää ongelmia eikä kysymys siitä, että diffie-hellman SHA1: n kanssa valitaan kex -algoritmiksi.
Onefs poisti sen uusimmassa versiossa (8.2.2 yllä)
Nämä algoritmit eivät vaikuta meihin.
Diffie-hellman-group-exchange-sha1:
SHA1 ei vaikuta Onefs 8.1.2:een, jos sitä käytetään allekirjoitusalgoritmina, joka aiheuttaa ongelman. TLS:n käyttämä allekirjoitusalgoritmi on SHA256 ja RSA.
SSH: ssa käytämme diffie-hellmania sha1: n kanssa kex -algoritmissa. Mutta nämä algoritmit valitaan järjestyksessä. SHA2-algoritmi on luettelon yläosassa, ja sitten SHA1 on lueteltu taaksepäin yhteensopivuuden vuoksi.
Palvelin ja asiakas neuvottelevat ja luettelossa oleva vaihtoehto valitaan. Joten jos asiakkaita päivitetään kex-algoritmeilla, ei ole enää ongelmia eikä kysymys siitä, että diffie-hellman SHA1: n kanssa valitaan kex -algoritmiksi.
Onefs poisti sen uusimmassa versiossa (8.2.2 yllä)
Oppløsning
Jos se on poistettava versiosta 8.1.2 tai sitä ei voi päivittää OneFS 8.2.2 -versioon tai uudempaan, voit kiertää heikot kex-algoritmit seuraavasti:
Tarkista Onefs 8.2.2:n kex-algoritmit, tämä heikko kex-algoritmi on poistettu:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jos sellainen on, muokkaa ssh-kokoonpanoa poistaaksesi sen sallituista kex-algoritmeista.
# isi ssh modify --kex-algorithms=käyrä25519-sha256,käyrä25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Käynnistä SSHD-palvelu uudelleen:
# isi_for_array 'killall -HUP sshd'
Tarkista Onefs 8.2.2:n kex-algoritmit, tämä heikko kex-algoritmi on poistettu:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jos sellainen on, muokkaa ssh-kokoonpanoa poistaaksesi sen sallituista kex-algoritmeista.
# isi ssh modify --kex-algorithms=käyrä25519-sha256,käyrä25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Käynnistä SSHD-palvelu uudelleen:
# isi_for_array 'killall -HUP sshd'
Berørte produkter
PowerScale OneFSArtikkelegenskaper
Artikkelnummer: 000195307
Artikkeltype: Solution
Sist endret: 07 sep. 2022
Versjon: 3
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.