PowerScale : L’algorithme d’échange de clés SSH est signalé par les analyseurs de failles de sécurité : diffie-hellman-group1-sha1
Resumo: Cet article explique comment corriger cette vulnérabilité pour Isilon, qui n’est pas critique, mais peut apparaître dans les analyses de vulnérabilité comme un chiffrement faible.
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
Algorithmes d’échange de clés SSHD.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Causa
Lorsque le client ssh utilise les mêmes algorithmes kex faibles pour connecter Isilon via ssh, le client peut exposer des informations sensibles. Dans ce cas, il s’agit d’un impact moindre d’Isilon/Client.
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Resolução
Si vous devez le supprimer de la version 8.1.2 ou si vous ne pouvez pas effectuer la mise à niveau vers OneFS 8.2.2 ou une version ultérieure, voici la solution de contournement pour supprimer les algorithmes kex faibles :
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Produtos afetados
PowerScale OneFSPropriedades do artigo
Número do artigo: 000195307
Tipo de artigo: Solution
Último modificado: 07 set. 2022
Versão: 3
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.