PowerScale: SSH Anahtar Değişimi Algoritması, güvenlik açığı tarayıcıları tarafından işaretlendi: diffie-hellman-group1-sha1
Resumo: Bu makalede, kritik olmayan ancak güvenlik açığı taramalarında zayıf bir şifre olarak görülebilen Isilon için bu güvenlik açığının nasıl düzeltileceği açıklanmaktadır.
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
SSHD Anahtar Değişimi Algoritmaları.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Onefs, tarayıcı tarafından bir güvenlik açığı olarak işaretlenen diffie-hellman-group-exchange-sha1 anahtar değişim algoritmalarını etkinleştirdi.
Bir güvenlik açığı tarama raporunda aşağıdaki açıklama görüntülenebilir:
Güvenlik açığı: Kullanımdan kaldırılan SSH Şifreleme Ayarları
TEHDİDİ: SSH protokolü (Secure Shell), bir bilgisayardan diğerine güvenli uzaktan oturum açma yöntemidir. Hedef, iletişim kurmak için kullanımdan kaldırılan SSH şifreleme ayarlarını kullanıyor.
ETKİSİ: Ortadaki adam saldırganı bu güvenlik açığından yararlanarak oturum anahtarının ve hatta mesajların şifresini çözmek üzere iletişimi kaydedebilir.
ÇÖZÜM: Kullanımdan kaldırılan şifreleme ayarlarını kullanmaktan kaçının. SSH'yi yapılandırırken en iyi uygulamaları kullanın.
Causa
SSH istemcisi Isilon'a SSH aracılığıyla bağlanmak için aynı zayıf kex algoritmalarını kullandığında istemci hassas bilgileri açığa çıkarabilir. Bu durumda bu, Isilon/Müşteri üzerinde daha az etki sağlar.
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Bu algoritmalardan etkilenmiyoruz veya etkilenmiyoruz.
Onefs 8.1.2, imzalama algoritması bir soruna neden olarak kullanılırsa diffie-hellman-group-exchange-sha1:
SHA1 tarafından korunmaz veya etkilenmez. TLS tarafından kullanılan imza algoritması RSA ile SHA256'dır.
SSH'de kex algoritmasında sha1 ile diffie-hellman kullanıyoruz. Ancak bu algoritmalar sıralı tercihe göre seçilir. SHA2 algoritması listenin en üstünde bulunur ve ardından geriye dönük uyumluluk için SHA1 listelenir.
Sunucu ve istemci anlaşır ve listede eşleşen seçilir. Bu nedenle, istemciler kex algoritmaları ile güncel tutulursa, daha fazla sorun olmayacak ve SHA1'in kex algoritması olarak seçilmesiyle diffie-hellman sorunu olmayacaktır.
Onefs bunu en son sürümde kaldırdı (yukarıda 8.2.2)
Resolução
Bunu 8.1.2'den kaldırmanız gerekiyorsa veya OneFS 8.2.2 veya sonraki bir sürüme yükseltemiyorsanız zayıf kex algoritmalarını kaldırmak için geçici çözüm şu şekildedir:
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Onefs 8.2.2'nin kex algoritmalarını kontrol edin, bu zayıf kex algoritması kaldırıldı:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Varsa izin verilen kex algoritmalarından kaldırmak için ssh yapılandırmasını değiştirin.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restart SSHD service:
# isi_for_array 'killall -HUP sshd'
Produtos afetados
PowerScale OneFSPropriedades do artigo
Número do artigo: 000195307
Tipo de artigo: Solution
Último modificado: 07 set. 2022
Versão: 3
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.