PowerScale: SSH Key Exchange Algorithm is gemarkeerd door security vulnerability scanners: diffie-hellman-group1-sha1
Resumo: In dit artikel wordt beschreven hoe u dit beveiligingslek kunt verhelpen voor Isilon. Dit is niet kritiek, maar kan in kwetsbaarheidsscans worden weergegeven als een zwakke codering.
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
Algoritmen voor het uitwisselen van SSHD-sleutels.
Onefs heeft sleuteluitwisselingsalgoritmen diffie-hellman-group-exchange-sha1 ingeschakeld, wat door de scanner als een kwetsbaarheid is gemarkeerd.
De volgende beschrijving kan worden weergegeven in een beveiligingsscanrapport:
Beveiligingslek: Afgeschafte SSH cryptografische instellingen
BEDREIGING: Het SSH-protocol (Secure Shell) is een methode om veilig op afstand in te loggen van de ene computer naar de andere. Het doel gebruikt verouderde cryptografische SSH-instellingen om te communiceren.
IMPACT: Een man-in-the-middle-aanvaller kan dit beveiligingslek misbruiken om de communicatie op te nemen om de sessiesleutel en zelfs de berichten te ontsleutelen.
OPLOSSING: Vermijd het gebruik van verouderde cryptografische instellingen. Gebruik de best practices bij het configureren van SSH.
Onefs heeft sleuteluitwisselingsalgoritmen diffie-hellman-group-exchange-sha1 ingeschakeld, wat door de scanner als een kwetsbaarheid is gemarkeerd.
De volgende beschrijving kan worden weergegeven in een beveiligingsscanrapport:
Beveiligingslek: Afgeschafte SSH cryptografische instellingen
BEDREIGING: Het SSH-protocol (Secure Shell) is een methode om veilig op afstand in te loggen van de ene computer naar de andere. Het doel gebruikt verouderde cryptografische SSH-instellingen om te communiceren.
IMPACT: Een man-in-the-middle-aanvaller kan dit beveiligingslek misbruiken om de communicatie op te nemen om de sessiesleutel en zelfs de berichten te ontsleutelen.
OPLOSSING: Vermijd het gebruik van verouderde cryptografische instellingen. Gebruik de best practices bij het configureren van SSH.
Causa
Wanneer de ssh-client dezelfde zwakke kex-algoritmen gebruikt om Isilon via ssh te verbinden, kan de client gevoelige informatie vrijgeven. In dit geval is dit minder impact van Isilon/Client.
We zijn niet kwetsbaar of beïnvloed door deze algoritmen.
Onefs 8.1.2 is niet kwetsbaar of wordt niet beïnvloed door diffie-hellman-group-exchange-sha1:
SHA1 indien gebruikt omdat het ondertekeningsalgoritme een probleem veroorzaakt. Het handtekeningalgoritme dat door TLS wordt gebruikt, is SHA256 met RSA.
In SSH gebruiken we diffie-hellman met sha1 in het kex-algoritme. Maar die algoritmen worden geselecteerd in de geordende voorkeur. Het SHA2-algoritme staat bovenaan de lijst en vervolgens wordt SHA1 vermeld voor achterwaartse compatibiliteit.
Server en client onderhandelen en degene die overeenkomt in de lijst wordt geselecteerd. Dus als klanten op de hoogte worden gehouden met kex-algoritmen, dan zullen er geen verdere problemen zijn en is er geen sprake van diffie-hellman met SHA1 die als kex-algoritme wordt geselecteerd.
Onefs heeft het verwijderd in de nieuwste versie (8.2.2 hierboven)
We zijn niet kwetsbaar of beïnvloed door deze algoritmen.
Onefs 8.1.2 is niet kwetsbaar of wordt niet beïnvloed door diffie-hellman-group-exchange-sha1:
SHA1 indien gebruikt omdat het ondertekeningsalgoritme een probleem veroorzaakt. Het handtekeningalgoritme dat door TLS wordt gebruikt, is SHA256 met RSA.
In SSH gebruiken we diffie-hellman met sha1 in het kex-algoritme. Maar die algoritmen worden geselecteerd in de geordende voorkeur. Het SHA2-algoritme staat bovenaan de lijst en vervolgens wordt SHA1 vermeld voor achterwaartse compatibiliteit.
Server en client onderhandelen en degene die overeenkomt in de lijst wordt geselecteerd. Dus als klanten op de hoogte worden gehouden met kex-algoritmen, dan zullen er geen verdere problemen zijn en is er geen sprake van diffie-hellman met SHA1 die als kex-algoritme wordt geselecteerd.
Onefs heeft het verwijderd in de nieuwste versie (8.2.2 hierboven)
Resolução
Als u het moet verwijderen van 8.1.2 of niet kunt upgraden naar OneFS 8.2.2 of hoger, is dit de tijdelijke oplossing om zwakke kex-algoritmen te verwijderen:
Controleer de kex-algoritmen van Onefs 8.2.2, dit zwakke kex-algoritme is verwijderd:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Wijzig indien aanwezig de ssh-configuratie om deze te verwijderen uit de toegestane kex-algoritmen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start de SSHD-service opnieuw:
# isi_for_array 'killall -HUP sshd'
Controleer de kex-algoritmen van Onefs 8.2.2, dit zwakke kex-algoritme is verwijderd:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Wijzig indien aanwezig de ssh-configuratie om deze te verwijderen uit de toegestane kex-algoritmen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start de SSHD-service opnieuw:
# isi_for_array 'killall -HUP sshd'
Produtos afetados
PowerScale OneFSPropriedades do artigo
Número do artigo: 000195307
Tipo de artigo: Solution
Último modificado: 07 set. 2022
Versão: 3
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.