PowerScale: Los escáneres de vulnerabilidades de seguridad marcan el algoritmo de intercambio de claves SSH: diffie-hellman-group1-sha1
Сводка: En este artículo, se describe cómo corregir esta vulnerabilidad para Isilon, que no es crítica, pero puede aparecer en los análisis de vulnerabilidades como un cifrado débil.
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
Algoritmos de intercambio de claves SSHD.
Onefs habilitó los algoritmos de intercambio de claves diffie-hellman-group-exchange-sha1, que el escáner marca como una vulnerabilidad.
Es posible que aparezca la siguiente descripción en un informe de análisis de vulnerabilidad:
Vulnerabilidad: Configuración criptográfica
SSH obsoletaAMENAZA: El protocolo SSH (Secure Shell) es un método para el inicio de sesión remoto seguro de una computadora a otra. El destino utiliza ajustes criptográficos SSH obsoletos para comunicarse.
IMPACTO: Un atacante de intermediario puede aprovechar esta vulnerabilidad para grabar la comunicación con el fin de descifrar la clave de sesión e incluso los mensajes.
SOLUCIÓN: Evite usar ajustes criptográficos obsoletos. Use las prácticas recomendadas cuando configure SSH.
Onefs habilitó los algoritmos de intercambio de claves diffie-hellman-group-exchange-sha1, que el escáner marca como una vulnerabilidad.
Es posible que aparezca la siguiente descripción en un informe de análisis de vulnerabilidad:
Vulnerabilidad: Configuración criptográfica
SSH obsoletaAMENAZA: El protocolo SSH (Secure Shell) es un método para el inicio de sesión remoto seguro de una computadora a otra. El destino utiliza ajustes criptográficos SSH obsoletos para comunicarse.
IMPACTO: Un atacante de intermediario puede aprovechar esta vulnerabilidad para grabar la comunicación con el fin de descifrar la clave de sesión e incluso los mensajes.
SOLUCIÓN: Evite usar ajustes criptográficos obsoletos. Use las prácticas recomendadas cuando configure SSH.
Причина
Cuando el cliente ssh utiliza los mismos algoritmos kex débiles para conectarse a Isilon a través de SSH, el cliente puede exponer información confidencial. En este caso, el impacto de Isilon/cliente es menor.
Estos algoritmos no nos hacen vulnerables ni nos afectan.
OneFS 8.1.2 no es vulnerable ni se ve afectado por diffie-hellman-group-exchange-sha1:
SHA1 si se utiliza como algoritmo de firma y causa un problema. El algoritmo de firma que utiliza TLS es SHA256 con RSA.
En SSH usamos diffie-hellman con sha1 en el algoritmo kex. Pero esos algoritmos se seleccionan en la preferencia ordenada. El algoritmo SHA2 está presente en la parte superior de la lista y, a continuación, SHA1 se enumera para la compatibilidad con versiones anteriores.
El servidor y el cliente negocian y se selecciona el que coincida en la lista. Por lo tanto, si los clientes se mantienen actualizados con algoritmos kex, entonces no habrá más problemas y no habrá duda de que diffie-hellman con SHA1 se seleccionará como algoritmo kex.
Onefs lo eliminó en la última versión (8.2.2 anterior)
Estos algoritmos no nos hacen vulnerables ni nos afectan.
OneFS 8.1.2 no es vulnerable ni se ve afectado por diffie-hellman-group-exchange-sha1:
SHA1 si se utiliza como algoritmo de firma y causa un problema. El algoritmo de firma que utiliza TLS es SHA256 con RSA.
En SSH usamos diffie-hellman con sha1 en el algoritmo kex. Pero esos algoritmos se seleccionan en la preferencia ordenada. El algoritmo SHA2 está presente en la parte superior de la lista y, a continuación, SHA1 se enumera para la compatibilidad con versiones anteriores.
El servidor y el cliente negocian y se selecciona el que coincida en la lista. Por lo tanto, si los clientes se mantienen actualizados con algoritmos kex, entonces no habrá más problemas y no habrá duda de que diffie-hellman con SHA1 se seleccionará como algoritmo kex.
Onefs lo eliminó en la última versión (8.2.2 anterior)
Разрешение
Si necesita eliminarlo de 8.1.2 o no puede actualizar a OneFS 8.2.2 o posterior, esta es la solución alternativa para eliminar los algoritmos kex débiles:
Verifique los algoritmos kex de Onefs 8.2.2, este algoritmo kex débil se ha eliminado:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si está presente, modifique la configuración de ssh para eliminarla de los algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie el servicio SSHD:
# isi_for_array 'killall -HUP sshd'
Verifique los algoritmos kex de Onefs 8.2.2, este algoritmo kex débil se ha eliminado:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si está presente, modifique la configuración de ssh para eliminarla de los algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie el servicio SSHD:
# isi_for_array 'killall -HUP sshd'
Затронутые продукты
PowerScale OneFSСвойства статьи
Номер статьи: 000195307
Тип статьи: Solution
Последнее изменение: 07 Sep 2022
Версия: 3
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.