PowerScale: Algoritmus výměny klíčů SSH je označen skenery chyb zabezpečení: diffie-hellman-group1-sha1
Resumo: Tento článek popisuje, jak napravit tuto chybu zabezpečení pro řešení Isilon, která není kritická, ale může se při skenování zranitelností jevit jako slabá šifra.
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
Algoritmy výměny klíčů SSHD.
Systém Onefs povolil algoritmy výměny klíčů diffie-hellman-group-exchange-sha1, které skener označil jako chybu zabezpečení.
Ve zprávě o kontrole chyb zabezpečení se může objevit následující popis:
Chyba zabezpečení: Zrušená kryptografická nastavení
SSHHRROZBA: Protokol SSH (Secure Shell) je metoda pro bezpečné vzdálené přihlášení z jednoho počítače do druhého. Cíl ke komunikaci používá zastaralá kryptografická nastavení SSH.
DOPAD: Útočník typu man-in-the-middle může tuto chybu zabezpečení zneužít k zaznamenání komunikace a dešifrování klíče relace a dokonce i zpráv.
ŘEŠENÍ: Nepoužívejte zastaralá kryptografická nastavení. Při konfiguraci SSH používejte osvědčené postupy.
Systém Onefs povolil algoritmy výměny klíčů diffie-hellman-group-exchange-sha1, které skener označil jako chybu zabezpečení.
Ve zprávě o kontrole chyb zabezpečení se může objevit následující popis:
Chyba zabezpečení: Zrušená kryptografická nastavení
SSHHRROZBA: Protokol SSH (Secure Shell) je metoda pro bezpečné vzdálené přihlášení z jednoho počítače do druhého. Cíl ke komunikaci používá zastaralá kryptografická nastavení SSH.
DOPAD: Útočník typu man-in-the-middle může tuto chybu zabezpečení zneužít k zaznamenání komunikace a dešifrování klíče relace a dokonce i zpráv.
ŘEŠENÍ: Nepoužívejte zastaralá kryptografická nastavení. Při konfiguraci SSH používejte osvědčené postupy.
Causa
Pokud klient SSH používá pro připojení řešení Isilon přes SSH stejné slabé algoritmy kex, může klient vystavit citlivé informace. V tomto případě se jedná o menší dopad řešení Isilon/Client.
Nejsme těmito algoritmy zranitelní ani ovlivnění.
Systém Onefs 8.1.2 není ohrožen chybou diffie-hellman-group-exchange-sha1:
SHA1, pokud je použit jako podpisový algoritmus způsobující problém. Algoritmus podpisu používaný protokolem TLS je SHA256 s RSA.
V SSH používáme diffie-hellman s sha1 v kex algoritmu. Tyto algoritmy jsou však vybrány v seřazené předvolbě. Algoritmus SHA2 je uveden v horní části seznamu a poté jsou uvedeny SHA1 kvůli zpětné kompatibilitě.
Server a klient vyjednají a vybere se ten, který odpovídá v seznamu. Pokud jsou tedy klienti průběžně informováni o algoritmech kex, nebudou žádné další problémy a nebude pochyb o tom, že by byl jako algoritmus kex vybrán algoritmus diffie-hellman s SHA1.
Onefs jej v nejnovější verzi odstranil (8.2.2 výše)
Nejsme těmito algoritmy zranitelní ani ovlivnění.
Systém Onefs 8.1.2 není ohrožen chybou diffie-hellman-group-exchange-sha1:
SHA1, pokud je použit jako podpisový algoritmus způsobující problém. Algoritmus podpisu používaný protokolem TLS je SHA256 s RSA.
V SSH používáme diffie-hellman s sha1 v kex algoritmu. Tyto algoritmy jsou však vybrány v seřazené předvolbě. Algoritmus SHA2 je uveden v horní části seznamu a poté jsou uvedeny SHA1 kvůli zpětné kompatibilitě.
Server a klient vyjednají a vybere se ten, který odpovídá v seznamu. Pokud jsou tedy klienti průběžně informováni o algoritmech kex, nebudou žádné další problémy a nebude pochyb o tom, že by byl jako algoritmus kex vybrán algoritmus diffie-hellman s SHA1.
Onefs jej v nejnovější verzi odstranil (8.2.2 výše)
Resolução
Pokud jej potřebujete odebrat z verze 8.1.2 nebo nemůžete upgradovat na OneFS 8.2.2 nebo novější, toto je zástupné řešení pro odstranění slabých algoritmů kex:
Zkontrolujte algoritmy kex systému Onefs 8.2.2, tento slabý algoritmus kex byl odstraněn
:# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Pokud je k dispozici, upravte konfiguraci ssh a odeberte ji z povolených algoritmů kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restartujte službu SSHD:
# isi_for_array 'killall -HUP sshd'
Zkontrolujte algoritmy kex systému Onefs 8.2.2, tento slabý algoritmus kex byl odstraněn
:# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Pokud je k dispozici, upravte konfiguraci ssh a odeberte ji z povolených algoritmů kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restartujte službu SSHD:
# isi_for_array 'killall -HUP sshd'
Produtos afetados
PowerScale OneFSPropriedades do artigo
Número do artigo: 000195307
Tipo de artigo: Solution
Último modificado: 07 set. 2022
Versão: 3
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.