PowerScale. Алгоритм обмена ключами SSH помечен сканерами уязвимостей безопасности: diffie-hellman-group1-sha1
Sammendrag: В этой статье описано, как устранить эту уязвимость для Isilon, которая не является критической, но может отображаться при сканировании на наличие уязвимостей как слабый шифр.
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
Алгоритмы обмена ключами SSHD.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Årsak
Если клиент SSH использует те же слабые алгоритмы kex для подключения Isilon по протоколу SSH, он может раскрыть конфиденциальную информацию. В этом случае это меньшее влияние Isilon/Client.
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Oppløsning
Если вам нужно удалить его с версии 8.1.2 или вы не можете выполнить модернизацию до OneFS 8.2.2 или более поздней версии, это временное решение для удаления слабых алгоритмов kex:
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Berørte produkter
PowerScale OneFSArtikkelegenskaper
Artikkelnummer: 000195307
Artikkeltype: Solution
Sist endret: 07 sep. 2022
Versjon: 3
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.