PowerScale: Der SSH-Schlüsselaustauschalgorithmus wird von Sicherheitslückenscannern markiert: diffie-hellman-group1-sha1
Resumo: In diesem Artikel wird beschrieben, wie Sie diese Sicherheitslücke für Isilon beheben können, die zwar nicht kritisch ist, aber bei Sicherheitsüberprüfungen möglicherweise als schwache Verschlüsselung angezeigt wird. ...
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
SSHD-Schlüsselaustauschalgorithmen.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Causa
Wenn der SSH-Client dieselben schwachen KEX-Algorithmen verwendet, um Isilon über SSH zu verbinden, kann der Client vertrauliche Informationen preisgeben. In diesem Fall sind die Auswirkungen von Isilon/Client geringer.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Resolução
Wenn Sie es aus 8.1.2 entfernen müssen oder kein Upgrade auf OneFS 8.2.2 oder höher durchführen können, ist dies die Problemumgehung, um schwache KEX-Algorithmen zu entfernen:
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Produtos afetados
PowerScale OneFSPropriedades do artigo
Número do artigo: 000195307
Tipo de artigo: Solution
Último modificado: 07 set. 2022
Versão: 3
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.