PowerScale : L’algorithme d’échange de clés SSH est signalé par les analyseurs de failles de sécurité : diffie-hellman-group1-sha1
Sammendrag: Cet article explique comment corriger cette vulnérabilité pour Isilon, qui n’est pas critique, mais peut apparaître dans les analyses de vulnérabilité comme un chiffrement faible.
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
Algorithmes d’échange de clés SSHD.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Årsak
Lorsque le client ssh utilise les mêmes algorithmes kex faibles pour connecter Isilon via ssh, le client peut exposer des informations sensibles. Dans ce cas, il s’agit d’un impact moindre d’Isilon/Client.
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Oppløsning
Si vous devez le supprimer de la version 8.1.2 ou si vous ne pouvez pas effectuer la mise à niveau vers OneFS 8.2.2 ou une version ultérieure, voici la solution de contournement pour supprimer les algorithmes kex faibles :
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Berørte produkter
PowerScale OneFSArtikkelegenskaper
Artikkelnummer: 000195307
Artikkeltype: Solution
Sist endret: 07 sep. 2022
Versjon: 3
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.