PowerScale: Algoritmus výměny klíčů SSH je označen skenery chyb zabezpečení: diffie-hellman-group1-sha1
Sammanfattning: Tento článek popisuje, jak napravit tuto chybu zabezpečení pro řešení Isilon, která není kritická, ale může se při skenování zranitelností jevit jako slabá šifra.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Algoritmy výměny klíčů SSHD.
Systém Onefs povolil algoritmy výměny klíčů diffie-hellman-group-exchange-sha1, které skener označil jako chybu zabezpečení.
Ve zprávě o kontrole chyb zabezpečení se může objevit následující popis:
Chyba zabezpečení: Zrušená kryptografická nastavení
SSHHRROZBA: Protokol SSH (Secure Shell) je metoda pro bezpečné vzdálené přihlášení z jednoho počítače do druhého. Cíl ke komunikaci používá zastaralá kryptografická nastavení SSH.
DOPAD: Útočník typu man-in-the-middle může tuto chybu zabezpečení zneužít k zaznamenání komunikace a dešifrování klíče relace a dokonce i zpráv.
ŘEŠENÍ: Nepoužívejte zastaralá kryptografická nastavení. Při konfiguraci SSH používejte osvědčené postupy.
Systém Onefs povolil algoritmy výměny klíčů diffie-hellman-group-exchange-sha1, které skener označil jako chybu zabezpečení.
Ve zprávě o kontrole chyb zabezpečení se může objevit následující popis:
Chyba zabezpečení: Zrušená kryptografická nastavení
SSHHRROZBA: Protokol SSH (Secure Shell) je metoda pro bezpečné vzdálené přihlášení z jednoho počítače do druhého. Cíl ke komunikaci používá zastaralá kryptografická nastavení SSH.
DOPAD: Útočník typu man-in-the-middle může tuto chybu zabezpečení zneužít k zaznamenání komunikace a dešifrování klíče relace a dokonce i zpráv.
ŘEŠENÍ: Nepoužívejte zastaralá kryptografická nastavení. Při konfiguraci SSH používejte osvědčené postupy.
Orsak
Pokud klient SSH používá pro připojení řešení Isilon přes SSH stejné slabé algoritmy kex, může klient vystavit citlivé informace. V tomto případě se jedná o menší dopad řešení Isilon/Client.
Nejsme těmito algoritmy zranitelní ani ovlivnění.
Systém Onefs 8.1.2 není ohrožen chybou diffie-hellman-group-exchange-sha1:
SHA1, pokud je použit jako podpisový algoritmus způsobující problém. Algoritmus podpisu používaný protokolem TLS je SHA256 s RSA.
V SSH používáme diffie-hellman s sha1 v kex algoritmu. Tyto algoritmy jsou však vybrány v seřazené předvolbě. Algoritmus SHA2 je uveden v horní části seznamu a poté jsou uvedeny SHA1 kvůli zpětné kompatibilitě.
Server a klient vyjednají a vybere se ten, který odpovídá v seznamu. Pokud jsou tedy klienti průběžně informováni o algoritmech kex, nebudou žádné další problémy a nebude pochyb o tom, že by byl jako algoritmus kex vybrán algoritmus diffie-hellman s SHA1.
Onefs jej v nejnovější verzi odstranil (8.2.2 výše)
Nejsme těmito algoritmy zranitelní ani ovlivnění.
Systém Onefs 8.1.2 není ohrožen chybou diffie-hellman-group-exchange-sha1:
SHA1, pokud je použit jako podpisový algoritmus způsobující problém. Algoritmus podpisu používaný protokolem TLS je SHA256 s RSA.
V SSH používáme diffie-hellman s sha1 v kex algoritmu. Tyto algoritmy jsou však vybrány v seřazené předvolbě. Algoritmus SHA2 je uveden v horní části seznamu a poté jsou uvedeny SHA1 kvůli zpětné kompatibilitě.
Server a klient vyjednají a vybere se ten, který odpovídá v seznamu. Pokud jsou tedy klienti průběžně informováni o algoritmech kex, nebudou žádné další problémy a nebude pochyb o tom, že by byl jako algoritmus kex vybrán algoritmus diffie-hellman s SHA1.
Onefs jej v nejnovější verzi odstranil (8.2.2 výše)
Upplösning
Pokud jej potřebujete odebrat z verze 8.1.2 nebo nemůžete upgradovat na OneFS 8.2.2 nebo novější, toto je zástupné řešení pro odstranění slabých algoritmů kex:
Zkontrolujte algoritmy kex systému Onefs 8.2.2, tento slabý algoritmus kex byl odstraněn
:# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Pokud je k dispozici, upravte konfiguraci ssh a odeberte ji z povolených algoritmů kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restartujte službu SSHD:
# isi_for_array 'killall -HUP sshd'
Zkontrolujte algoritmy kex systému Onefs 8.2.2, tento slabý algoritmus kex byl odstraněn
:# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Pokud je k dispozici, upravte konfiguraci ssh a odeberte ji z povolených algoritmů kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Restartujte službu SSHD:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.