PowerScale : L’algorithme d’échange de clés SSH est signalé par les analyseurs de failles de sécurité : diffie-hellman-group1-sha1
Sammanfattning: Cet article explique comment corriger cette vulnérabilité pour Isilon, qui n’est pas critique, mais peut apparaître dans les analyses de vulnérabilité comme un chiffrement faible.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Algorithmes d’échange de clés SSHD.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Onefs a activé les algorithmes d’échange de clés diffie-hellman-group-exchange-sha1, ce qui est marqué comme une vulnérabilité par le scanner.
La description suivante peut apparaître dans un rapport d’analyse des failles de sécurité :
Faille de sécurité : Paramètres
cryptographiques SSH obsolètesMENACE : Le protocole SSH (Secure Shell) est une méthode de connexion à distance sécurisée d’un ordinateur à un autre. La cible utilise des paramètres cryptographiques SSH obsolètes pour communiquer.
IMPACT: Un attaquant de type man-in-the-middle peut être en mesure d’exploiter cette vulnérabilité pour enregistrer la communication afin de déchiffrer la clé de session et même les messages.
SOLUTION: Évitez d’utiliser des paramètres cryptographiques obsolètes. Suivez les pratiques d’excellence lors de la configuration de SSH.
Orsak
Lorsque le client ssh utilise les mêmes algorithmes kex faibles pour connecter Isilon via ssh, le client peut exposer des informations sensibles. Dans ce cas, il s’agit d’un impact moindre d’Isilon/Client.
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Nous ne sommes pas vulnérables ou affectés par ces algorithmes.
Onefs 8.1.2 n’est pas vulnérable ou affecté par diffie-hellman-group-exchange-sha1 :
SHA1 si son utilisation en tant qu’algorithme de signature provoque un problème. L’algorithme de signature utilisé par TLS est SHA256 avec RSA.
En SSH, nous utilisons diffie-hellman avec sha1 dans l’algorithme kex. Mais ces algorithmes sont sélectionnés dans la préférence ordonnée. L’algorithme SHA2 est présent en haut de la liste, puis SHA1 est répertorié pour une compatibilité descendante.
Le serveur et le client négocient et celui qui correspond dans la liste est sélectionné. Donc, si les clients sont maintenus à jour avec les algorithmes kex, il n’y aura pas d’autres problèmes et il ne sera pas question de diffie-hellman avec SHA1 sélectionné comme algorithme kex.
Onefs l’a supprimé dans la dernière version (8.2.2 ci-dessus)
Upplösning
Si vous devez le supprimer de la version 8.1.2 ou si vous ne pouvez pas effectuer la mise à niveau vers OneFS 8.2.2 ou une version ultérieure, voici la solution de contournement pour supprimer les algorithmes kex faibles :
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Vérifiez les algorithmes kex faibles de Onefs 8.2.2, cet algorithme kex faible a été supprimé :
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si elle est présente, modifiez la configuration ssh pour la supprimer des algorithmes kex autorisés.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Redémarrez le service SSHD :
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.