PowerScale: SSH Key Exchange Algorithm markeres af sikkerhedssårbarhedsscannere: diffie-hellman-group1-sha1
Resumo: I denne artikel beskrives, hvordan du afhjælper denne svaghed i Isilon, som ikke er kritisk, men som kan forekomme i scanninger af sikkerhedsrisici som en svag kode.
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
SSHD-nøgleudvekslingsalgoritmer.
Onefs aktiverede nøgleudvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er markeret som en sårbarhed af scanneren.
Følgende beskrivelse vises muligvis i en rapport over scanning efter sikkerhedsrisici:
Sikkerhedsrisiko: Udfasede SSH-kryptografiske indstillinger
TRUSSEL: SSH-protokollen (Secure Shell) er en metode til sikker fjernlogin fra en computer til en anden. Målet bruger forældede SSH-kryptografiske indstillinger til at kommunikere.
INDVIRKNING: En man-in-the-middle-angriber kan muligvis udnytte denne sårbarhed til at registrere kommunikationen for at dekryptere sessionsnøglen og endda meddelelserne.
LØSNING: Undgå at bruge forældede kryptografiske indstillinger. Brug bedste praksis ved konfiguration af SSH.
Onefs aktiverede nøgleudvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er markeret som en sårbarhed af scanneren.
Følgende beskrivelse vises muligvis i en rapport over scanning efter sikkerhedsrisici:
Sikkerhedsrisiko: Udfasede SSH-kryptografiske indstillinger
TRUSSEL: SSH-protokollen (Secure Shell) er en metode til sikker fjernlogin fra en computer til en anden. Målet bruger forældede SSH-kryptografiske indstillinger til at kommunikere.
INDVIRKNING: En man-in-the-middle-angriber kan muligvis udnytte denne sårbarhed til at registrere kommunikationen for at dekryptere sessionsnøglen og endda meddelelserne.
LØSNING: Undgå at bruge forældede kryptografiske indstillinger. Brug bedste praksis ved konfiguration af SSH.
Causa
Når ssh-klienten bruger de samme svage kex-algoritmer til at forbinde Isilon via ssh, kan klienten eksponere følsomme oplysninger. I dette tilfælde påvirker dette Isilon/klienten mindre.
Vi er ikke sårbare eller påvirket af disse algoritmer.
Onefs 8.1.2 er ikke sårbar eller påvirket af diffie-hellman-group-exchange-sha1:SHA1,
hvis den bruges, da signeringsalgoritmen forårsager et problem. Signaturalgoritmen, der bruges af TLS, er SHA256 med RSA.
I SSH bruger vi diffie-hellman med sha1 i kex-algoritme. Men disse algoritmer vælges i den ordnede præference. SHA2-algoritmen findes øverst på listen, og derefter vises SHA1 for bagudkompatibilitet.
Server og klient forhandler, og den, der matcher på listen, vælges. Så hvis klienter holdes opdateret med kex-algoritmer, vil der ikke være yderligere problemer og intet spørgsmål om, at diffie-hellman med SHA1 vælges som kex-algoritme.
Onefs fjernet det i seneste version (8.2.2 ovenfor)
Vi er ikke sårbare eller påvirket af disse algoritmer.
Onefs 8.1.2 er ikke sårbar eller påvirket af diffie-hellman-group-exchange-sha1:SHA1,
hvis den bruges, da signeringsalgoritmen forårsager et problem. Signaturalgoritmen, der bruges af TLS, er SHA256 med RSA.
I SSH bruger vi diffie-hellman med sha1 i kex-algoritme. Men disse algoritmer vælges i den ordnede præference. SHA2-algoritmen findes øverst på listen, og derefter vises SHA1 for bagudkompatibilitet.
Server og klient forhandler, og den, der matcher på listen, vælges. Så hvis klienter holdes opdateret med kex-algoritmer, vil der ikke være yderligere problemer og intet spørgsmål om, at diffie-hellman med SHA1 vælges som kex-algoritme.
Onefs fjernet det i seneste version (8.2.2 ovenfor)
Resolução
Hvis du har brug for at fjerne det fra 8.1.2 eller ikke kan opgradere til OneFS 8.2.2 eller nyere, er dette løsningen til at fjerne svage kex-algoritmer:
Kontroller kex-algoritmer i Onefs 8.2.2, denne svage kex-algoritme er blevet fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis den findes, skal du ændre ssh-konfigurationen for at fjerne den fra kex-algoritmer tilladt.
# isi ssh ændre --kex-algoritmer = curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Genstart SSHD-tjenesten:
# isi_for_array 'killall -HUP sshd'
Kontroller kex-algoritmer i Onefs 8.2.2, denne svage kex-algoritme er blevet fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis den findes, skal du ændre ssh-konfigurationen for at fjerne den fra kex-algoritmer tilladt.
# isi ssh ændre --kex-algoritmer = curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Genstart SSHD-tjenesten:
# isi_for_array 'killall -HUP sshd'
Produtos afetados
PowerScale OneFSPropriedades do artigo
Número do artigo: 000195307
Tipo de artigo: Solution
Último modificado: 07 set. 2022
Versão: 3
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.