PowerScale: Алгоритм обміну ключами SSH позначається сканерами вразливостей безпеки: diffie-hellman-group1-sha1
Resumo: У цій статті описано, як виправити цю вразливість для Isilon, яка не є критичною, але може з'явитися під час сканування вразливостей як слабкий шифр.
Este artigo aplica-se a
Este artigo não se aplica a
Este artigo não está vinculado a nenhum produto específico.
Nem todas as versões do produto estão identificadas neste artigo.
Sintomas
Алгоритми обміну ключами SSHD.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Causa
Якщо клієнт ssh використовує ті самі слабкі алгоритми kex для з'єднання Isilon за допомогою ssh, клієнт може розкрити конфіденційні дані. У цьому випадку це менший вплив Ісілона/Клієнта.
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Resolução
Якщо вам потрібно вилучити його з версії 8.1.2 або ви не можете оновитися до OneFS 8.2.2 або новішої версії, ось обхідний шлях для вилучення слабких алгоритмів kex:
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Produtos afetados
PowerScale OneFSPropriedades do artigo
Número do artigo: 000195307
Tipo de artigo: Solution
Último modificado: 07 set. 2022
Versão: 3
Encontre as respostas de outros usuários da Dell para suas perguntas.
Serviços de suporte
Verifique se o dispositivo está coberto pelos serviços de suporte.