PowerScale: Der SSH-Schlüsselaustauschalgorithmus wird von Sicherheitslückenscannern markiert: diffie-hellman-group1-sha1
Sammanfattning: In diesem Artikel wird beschrieben, wie Sie diese Sicherheitslücke für Isilon beheben können, die zwar nicht kritisch ist, aber bei Sicherheitsüberprüfungen möglicherweise als schwache Verschlüsselung angezeigt wird. ...
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
SSHD-Schlüsselaustauschalgorithmen.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Onefs hat den Schlüsselaustauschalgorithmus diffie-hellman-group-exchange-sha1 aktiviert, der vom Scanner als Sicherheitslücke markiert wird.
Die folgende Beschreibung kann in einem Bericht zur Überprüfung auf Sicherheitslücken angezeigt werden:
Sicherheitslücke: Veraltete kryptografische SSH-Einstellungen
BEDROHUNG: Das SSH-Protokoll (Secure Shell) ist eine Methode für die sichere Remoteanmeldung von einem Computer auf einen anderen. Das Ziel verwendet veraltete kryptografische SSH-Einstellungen für die Kommunikation.
AUSWIRKUNGEN: Ein Man-in-the-Middle-Angreifer kann diese Sicherheitsanfälligkeit möglicherweise ausnutzen, um die Kommunikation aufzuzeichnen und den Sitzungsschlüssel und sogar die Nachrichten zu entschlüsseln.
LÖSUNG: Vermeiden Sie die Verwendung veralteter kryptografischer Einstellungen. Verwenden Sie Best Practices bei der Konfiguration von SSH.
Orsak
Wenn der SSH-Client dieselben schwachen KEX-Algorithmen verwendet, um Isilon über SSH zu verbinden, kann der Client vertrauliche Informationen preisgeben. In diesem Fall sind die Auswirkungen von Isilon/Client geringer.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Wir sind von diesen Algorithmen nicht verwundbar oder betroffen.
Onefs 8.1.2 ist nicht anfällig oder von diffie-hellman-group-exchange-sha1:
SHA1 betroffen, wenn es verwendet wird, da der Signaturalgorithmus ein Problem verursacht. Der von TLS verwendete Signaturalgorithmus ist SHA256 mit RSA.
In SSH verwenden wir diffie-hellman mit sha1 im kex-Algorithmus. Diese Algorithmen werden jedoch in der Reihenfolge ausgewählt. Der SHA2-Algorithmus befindet sich oben in der Liste und dann wird SHA1 für die Abwärtskompatibilität aufgeführt.
Server und Client verhandeln und diejenige, die in der Liste übereinstimmt, wird ausgewählt. Wenn Clients also mit Kex-Algorithmen auf dem neuesten Stand gehalten werden, dann gibt es keine weiteren Probleme und keine Frage, dass Diffie-Hellman mit SHA1 als Kex-Algorithmus ausgewählt wird.
OneFS hat es in der neuesten Version (8.2.2 oben) entfernt.
Upplösning
Wenn Sie es aus 8.1.2 entfernen müssen oder kein Upgrade auf OneFS 8.2.2 oder höher durchführen können, ist dies die Problemumgehung, um schwache KEX-Algorithmen zu entfernen:
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Überprüfen Sie die KEX-Algorithmen von OneFS 8.2.2, dieser schwache KEX-Algorithmus wurde entfernt:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Falls vorhanden, ändern Sie die SSH-Konfiguration, um sie aus KEX-Algorithmen zu entfernen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Starten Sie den SSHD-Dienst neu:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.