PowerScale: Algorytm wymiany kluczy SSH jest oznaczony przez skanery luk w zabezpieczeniach: diffie-hellman-group1-sha1
Resumo: W tym artykule opisano, jak naprawić tę lukę w zabezpieczeniach Isilon, która nie jest krytyczna, ale może pojawiać się w skanowaniu luk jako słaby szyfr.
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
Algorytmy wymiany kluczy SSHD.
Onefs włączył algorytmy wymiany kluczy diffie-hellman-group-exchange-sha1, który jest oznaczony przez skaner jako luka w zabezpieczeniach.
W raporcie skanowania luk w zabezpieczeniach może pojawić się następujący opis:
Luka w zabezpieczeniach: Przestarzałe ustawienia
kryptograficzne SSHZAGROŻENIE: Protokół SSH (Secure Shell) to metoda bezpiecznego zdalnego logowania z jednego komputera na drugi. Cel używa przestarzałych ustawień kryptograficznych SSH do komunikacji.
WPŁYW: Osoba atakująca typu man-in-the-middle może być w stanie wykorzystać tę lukę do nagrania komunikacji w celu odszyfrowania klucza sesji, a nawet wiadomości.
ROZWIĄZANIE: Unikaj używania przestarzałych ustawień kryptograficznych. Podczas konfigurowania protokołu SSH należy kierować się najlepszymi rozwiązaniami.
Onefs włączył algorytmy wymiany kluczy diffie-hellman-group-exchange-sha1, który jest oznaczony przez skaner jako luka w zabezpieczeniach.
W raporcie skanowania luk w zabezpieczeniach może pojawić się następujący opis:
Luka w zabezpieczeniach: Przestarzałe ustawienia
kryptograficzne SSHZAGROŻENIE: Protokół SSH (Secure Shell) to metoda bezpiecznego zdalnego logowania z jednego komputera na drugi. Cel używa przestarzałych ustawień kryptograficznych SSH do komunikacji.
WPŁYW: Osoba atakująca typu man-in-the-middle może być w stanie wykorzystać tę lukę do nagrania komunikacji w celu odszyfrowania klucza sesji, a nawet wiadomości.
ROZWIĄZANIE: Unikaj używania przestarzałych ustawień kryptograficznych. Podczas konfigurowania protokołu SSH należy kierować się najlepszymi rozwiązaniami.
Causa
Gdy klient ssh używa tych samych słabych algorytmów kex do łączenia się z Isilon przez ssh, klient może ujawnić poufne informacje. W tym przypadku wpływ Isilon/klienta jest mniejszy.
Te algorytmy nie są dla nas podatne na ataki ani nie mają na nas wpływu.
Onefs 8.1.2 nie jest podatny na ataki ani nie ma na niego wpływu diffie-hellman-group-exchange-sha1:SHA1,
jeśli jest używany jako algorytm podpisywania powoduje problem. Algorytm podpisu używany przez protokół TLS to SHA256 z RSA.
W SSH używamy diffie-hellmana z sha1 w algorytmie kex. Ale te algorytmy są wybierane zgodnie z uporządkowanymi preferencjami. Algorytm SHA2 znajduje się na górze listy, a następnie SHA1 są wymienione w celu zapewnienia zgodności z poprzednimi wersjami.
Serwer i klient negocjują i wybierany jest ten, który pasuje do listy. Jeśli więc klienci będą na bieżąco informowani o algorytmach kex, nie będzie dalszych problemów i nie będzie mowy o diffie-hellmanie z SHA1 wybranym jako algorytm kex.
Onefs usunął go w najnowszej wersji (8.2.2 powyżej)
Te algorytmy nie są dla nas podatne na ataki ani nie mają na nas wpływu.
Onefs 8.1.2 nie jest podatny na ataki ani nie ma na niego wpływu diffie-hellman-group-exchange-sha1:SHA1,
jeśli jest używany jako algorytm podpisywania powoduje problem. Algorytm podpisu używany przez protokół TLS to SHA256 z RSA.
W SSH używamy diffie-hellmana z sha1 w algorytmie kex. Ale te algorytmy są wybierane zgodnie z uporządkowanymi preferencjami. Algorytm SHA2 znajduje się na górze listy, a następnie SHA1 są wymienione w celu zapewnienia zgodności z poprzednimi wersjami.
Serwer i klient negocjują i wybierany jest ten, który pasuje do listy. Jeśli więc klienci będą na bieżąco informowani o algorytmach kex, nie będzie dalszych problemów i nie będzie mowy o diffie-hellmanie z SHA1 wybranym jako algorytm kex.
Onefs usunął go w najnowszej wersji (8.2.2 powyżej)
Resolução
Jeśli musisz usunąć go z wersji 8.1.2 lub nie możesz uaktualnić do OneFS 8.2.2 lub nowszego, jest to obejście, aby usunąć słabe algorytmy kex:
Sprawdź algorytmy kex Onefs 8.2.2, ten słaby algorytm kex został usunięty:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jeśli jest obecny, zmodyfikuj konfigurację ssh, aby usunąć ją z dozwolonych algorytmów kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Uruchom ponownie usługę SSHD:
# isi_for_array 'killall -HUP sshd'
Sprawdź algorytmy kex Onefs 8.2.2, ten słaby algorytm kex został usunięty:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jeśli jest obecny, zmodyfikuj konfigurację ssh, aby usunąć ją z dozwolonych algorytmów kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Uruchom ponownie usługę SSHD:
# isi_for_array 'killall -HUP sshd'
Produtos afetados
PowerScale OneFSPropriedades do artigo
Número do artigo: 000195307
Tipo de artigo: Solution
Último modificado: 07 set. 2022
Versão: 3
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.