PowerScale: Алгоритм обміну ключами SSH позначається сканерами вразливостей безпеки: diffie-hellman-group1-sha1
Sammendrag: У цій статті описано, як виправити цю вразливість для Isilon, яка не є критичною, але може з'явитися під час сканування вразливостей як слабкий шифр.
Denne artikkelen gjelder for
Denne artikkelen gjelder ikke for
Denne artikkelen er ikke knyttet til noe bestemt produkt.
Det er ikke produktversjonene som identifiseres i denne artikkelen.
Symptomer
Алгоритми обміну ключами SSHD.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Årsak
Якщо клієнт ssh використовує ті самі слабкі алгоритми kex для з'єднання Isilon за допомогою ssh, клієнт може розкрити конфіденційні дані. У цьому випадку це менший вплив Ісілона/Клієнта.
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Oppløsning
Якщо вам потрібно вилучити його з версії 8.1.2 або ви не можете оновитися до OneFS 8.2.2 або новішої версії, ось обхідний шлях для вилучення слабких алгоритмів kex:
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Berørte produkter
PowerScale OneFSArtikkelegenskaper
Artikkelnummer: 000195307
Artikkeltype: Solution
Sist endret: 07 sep. 2022
Versjon: 3
Få svar på spørsmålene dine fra andre Dell-brukere
Støttetjenester
Sjekk om enheten din er dekket av støttetjenestene.