PowerScale: SSH Key Exchange Algorithm flaggas av skannrar för säkerhetsbrister: diffie-hellman-group1-sha1
Resumo: I den här artikeln beskrivs hur du åtgärdar det här säkerhetsproblemet för Isilon, som inte är kritiskt men som kan visas som ett svagt chiffer i sårbarhetsgenomsökningar.
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
SSHD-algoritmer för nyckelutbyte.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Causa
När ssh-klienten använder samma svaga kex-algoritmer för att ansluta Isilon via ssh kan klienten exponera känslig information. I det här fallet är detta mindre påverkan av Isilon/Client.
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Resolução
Om du behöver ta bort den från 8.1.2 eller inte kan uppgradera till OneFS 8.2.2 eller senare är detta lösningen för att ta bort svaga kex-algoritmer:
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Produtos afetados
PowerScale OneFSPropriedades do artigo
Número do artigo: 000195307
Tipo de artigo: Solution
Último modificado: 07 set. 2022
Versão: 3
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.