PowerScale: Der SSH-Schlüsselaustauschalgorithmus wird von Sicherheitslückenscannern markiert: diffie-hellman-group1-sha1
Сводка: In diesem Artikel wird beschrieben, wie Sie diese Sicherheitslücke für Isilon beheben können, die zwar nicht kritisch ist, aber bei Sicherheitsüberprüfungen möglicherweise als schwache Verschlüsselung angezeigt wird. ...
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
SSHD-Schlüsselaustauschalgorithmen.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Причина
Wenn der SSH-Client dieselben schwachen KEX-Algorithmen verwendet, um Isilon über SSH zu verbinden, kann der Client vertrauliche Informationen preisgeben. In diesem Fall sind die Auswirkungen von Isilon/Client geringer.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Разрешение
Wenn Sie es aus 8.1.2 entfernen müssen oder kein Upgrade auf OneFS 8.2.2 oder höher durchführen können, ist dies die Problemumgehung, um schwache KEX-Algorithmen zu entfernen:
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Затронутые продукты
PowerScale OneFSСвойства статьи
Номер статьи: 000195307
Тип статьи: Solution
Последнее изменение: 07 Sep 2022
Версия: 3
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.