PowerScale: SSH Key Exchange Algorithm flaggas av skannrar för säkerhetsbrister: diffie-hellman-group1-sha1
Сводка: I den här artikeln beskrivs hur du åtgärdar det här säkerhetsproblemet för Isilon, som inte är kritiskt men som kan visas som ett svagt chiffer i sårbarhetsgenomsökningar.
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
SSHD-algoritmer för nyckelutbyte.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Onefs aktiverade nyckelutbytesalgoritmerna diffie-hellman-group-exchange-sha1, som är markerade som en sårbarhet av skannern.
Följande beskrivning kan visas i en sårbarhetsgenomsökningsrapport:Säkerhetsrisk:
Föråldrade SSH-kryptografiska inställningar
HOT: SSH-protokollet (Secure Shell) är en metod för säker fjärrinloggning från en dator till en annan. Målet använder inaktuella SSH-kryptografiska inställningar för att kommunicera.
EFFEKT: En man-in-the-middle-angripare kan utnyttja denna sårbarhet för att spela in kommunikationen för att dekryptera sessionsnyckeln och till och med meddelandena.
LÖSNING: Undvik att använda inaktuella kryptografiska inställningar. Använd metodtips när du konfigurerar SSH.
Причина
När ssh-klienten använder samma svaga kex-algoritmer för att ansluta Isilon via ssh kan klienten exponera känslig information. I det här fallet är detta mindre påverkan av Isilon/Client.
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Vi är inte sårbara eller påverkas av dessa algoritmer.
Onefs 8.1.2 är inte sårbar eller påverkas inte av diffie-hellman-group-exchange-sha1:
SHA1 om den används eftersom signeringsalgoritmen orsakar ett problem. Signaturalgoritmen som används av TLS är SHA256 med RSA.
I SSH använder vi diffie-hellman med sha1 i kex-algoritmen. Men dessa algoritmer väljs i den ordning de föredrar. SHA2-algoritmen finns högst upp i listan och sedan listas SHA1 för bakåtkompatibilitet.
Server och klient förhandlar och den som matchar i listan väljs. Så om klienter hålls uppdaterade med kex-algoritmer, kommer det inte att finnas några ytterligare problem och ingen fråga om att diffie-hellman med SHA1 väljs som kex-algoritm.
Onefs tog bort den i senaste versionen (8.2.2 ovan)
Разрешение
Om du behöver ta bort den från 8.1.2 eller inte kan uppgradera till OneFS 8.2.2 eller senare är detta lösningen för att ta bort svaga kex-algoritmer:
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Kontrollera kex-algoritmer i Onefs 8.2.2, den här svaga kex-algoritmen har tagits bort:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Om den finns, ändra ssh-konfigurationen för att ta bort den från kex-algoritmer tillåtna.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starta om SSHD-tjänsten:
# isi_for_array 'killall -HUP sshd'
Затронутые продукты
PowerScale OneFSСвойства статьи
Номер статьи: 000195307
Тип статьи: Solution
Последнее изменение: 07 Sep 2022
Версия: 3
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.