PowerScale: L'algoritmo di scambio chiavi SSH è contrassegnato dagli scanner delle vulnerabilità di sicurezza: diffie-hellman-group1-sha1
Сводка: Questo articolo descrive come risolvere questa vulnerabilità per Isilon, che non è critico, ma potrebbe essere visualizzato nelle analisi delle vulnerabilità come una crittografia debole. ...
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
Algoritmi di scambio chiavi SSHD.
Onefs ha abilitato gli algoritmi di scambio chiavi diffie-hellman-group-exchange-sha1, contrassegnati come vulnerabilità dallo scanner.
In un report di scansione delle vulnerabilità potrebbe essere visualizzata la seguente descrizione:
Vulnerability: Impostazioni
di crittografia SSH obsoleteMINACCIA: Il protocollo SSH (Secure Shell) è un metodo per l'accesso remoto sicuro da un computer a un altro. La destinazione utilizza impostazioni crittografiche SSH obsolete per comunicare.
IMPATTO: Un utente malintenzionato man-in-the-middle può essere in grado di sfruttare questa vulnerabilità per registrare la comunicazione e decrittografare la chiave di sessione e persino i messaggi.
SOLUZIONE: Evitare di utilizzare impostazioni crittografiche obsolete. Utilizzare le best practice durante la configurazione di SSH.
Onefs ha abilitato gli algoritmi di scambio chiavi diffie-hellman-group-exchange-sha1, contrassegnati come vulnerabilità dallo scanner.
In un report di scansione delle vulnerabilità potrebbe essere visualizzata la seguente descrizione:
Vulnerability: Impostazioni
di crittografia SSH obsoleteMINACCIA: Il protocollo SSH (Secure Shell) è un metodo per l'accesso remoto sicuro da un computer a un altro. La destinazione utilizza impostazioni crittografiche SSH obsolete per comunicare.
IMPATTO: Un utente malintenzionato man-in-the-middle può essere in grado di sfruttare questa vulnerabilità per registrare la comunicazione e decrittografare la chiave di sessione e persino i messaggi.
SOLUZIONE: Evitare di utilizzare impostazioni crittografiche obsolete. Utilizzare le best practice durante la configurazione di SSH.
Причина
Quando il client ssh usa gli stessi algoritmi kex deboli per connettere Isilon tramite ssh, il client potrebbe esporre informazioni sensibili. In questo caso, si tratta di un impatto minore di Isilon/client.
Non siamo vulnerabili o influenzati da questi algoritmi.
Onefs 8.1.2 non è vulnerabile o influenzato da diffie-hellman-group-exchange-sha1:
SHA1 se utilizzato come algoritmo di firma causa un problema. L'algoritmo di firma utilizzato da TLS è SHA256 con RSA.
In SSH usiamo diffie-hellman con sha1 nell'algoritmo kex. Ma questi algoritmi vengono selezionati nella preferenza ordinata. L'algoritmo SHA2 è presente in cima all'elenco, quindi SHA1 è elencato per la compatibilità con le versioni precedenti.
Server e client vengono negotiate e viene selezionato quello corrispondente nell'elenco. Quindi, se i client vengono mantenuti aggiornati con gli algoritmi kex, non ci saranno ulteriori problemi e non ci sarà alcuna questione di diffie-hellman con SHA1 selezionato come algoritmo kex.
Onefs lo ha rimosso nell'ultima versione (8.2.2 sopra)
Non siamo vulnerabili o influenzati da questi algoritmi.
Onefs 8.1.2 non è vulnerabile o influenzato da diffie-hellman-group-exchange-sha1:
SHA1 se utilizzato come algoritmo di firma causa un problema. L'algoritmo di firma utilizzato da TLS è SHA256 con RSA.
In SSH usiamo diffie-hellman con sha1 nell'algoritmo kex. Ma questi algoritmi vengono selezionati nella preferenza ordinata. L'algoritmo SHA2 è presente in cima all'elenco, quindi SHA1 è elencato per la compatibilità con le versioni precedenti.
Server e client vengono negotiate e viene selezionato quello corrispondente nell'elenco. Quindi, se i client vengono mantenuti aggiornati con gli algoritmi kex, non ci saranno ulteriori problemi e non ci sarà alcuna questione di diffie-hellman con SHA1 selezionato come algoritmo kex.
Onefs lo ha rimosso nell'ultima versione (8.2.2 sopra)
Разрешение
Se è necessario rimuoverlo da 8.1.2 o non è possibile eseguire l'aggiornamento a OneFS 8.2.2 o versioni successive, questa è la soluzione alternativa per rimuovere gli algoritmi kex deboli:
Controllare gli algoritmi kex di Onefs 8.2.2, questo algoritmo kex debole è stato rimosso:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se presente, modificare la configurazione ssh per rimuoverla dagli algoritmi kex consentiti.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Riavviare il servizio SSHD:
# isi_for_array 'killall -HUP sshd'
Controllare gli algoritmi kex di Onefs 8.2.2, questo algoritmo kex debole è stato rimosso:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se presente, modificare la configurazione ssh per rimuoverla dagli algoritmi kex consentiti.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Riavviare il servizio SSHD:
# isi_for_array 'killall -HUP sshd'
Затронутые продукты
PowerScale OneFSСвойства статьи
Номер статьи: 000195307
Тип статьи: Solution
Последнее изменение: 07 Sep 2022
Версия: 3
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.