PowerScale: SSH Key Exchange Algorithm flaggas av skannrar för säkerhetsbrister: diffie-hellman-group1-sha1
Sammendrag: I den här artikeln beskrivs hur du åtgärdar det här säkerhetsproblemet för Isilon, som inte är kritiskt men som kan visas som ett svagt chiffer i sårbarhetsgenomsökningar.
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
SSHD-algoritmer för nyckelutbyte.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Årsak
När ssh-klienten använder samma svaga kex-algoritmer för att ansluta Isilon via ssh kan klienten exponera känslig information. I det här fallet är detta mindre påverkan av Isilon/Client.
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Oppløsning
Om du behöver ta bort den från 8.1.2 eller inte kan uppgradera till OneFS 8.2.2 eller senare är detta lösningen för att ta bort svaga kex-algoritmer:
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Berørte produkter
PowerScale OneFSArtikkelegenskaper
Artikkelnummer: 000195307
Artikkeltype: Solution
Sist endret: 07 sep. 2022
Versjon: 3
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.