PowerScale: L'algoritmo di scambio chiavi SSH è contrassegnato dagli scanner delle vulnerabilità di sicurezza: diffie-hellman-group1-sha1
Sammanfattning: Questo articolo descrive come risolvere questa vulnerabilità per Isilon, che non è critico, ma potrebbe essere visualizzato nelle analisi delle vulnerabilità come una crittografia debole. ...
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Algoritmi di scambio chiavi SSHD.
Onefs ha abilitato gli algoritmi di scambio chiavi diffie-hellman-group-exchange-sha1, contrassegnati come vulnerabilità dallo scanner.
In un report di scansione delle vulnerabilità potrebbe essere visualizzata la seguente descrizione:
Vulnerability: Impostazioni
di crittografia SSH obsoleteMINACCIA: Il protocollo SSH (Secure Shell) è un metodo per l'accesso remoto sicuro da un computer a un altro. La destinazione utilizza impostazioni crittografiche SSH obsolete per comunicare.
IMPATTO: Un utente malintenzionato man-in-the-middle può essere in grado di sfruttare questa vulnerabilità per registrare la comunicazione e decrittografare la chiave di sessione e persino i messaggi.
SOLUZIONE: Evitare di utilizzare impostazioni crittografiche obsolete. Utilizzare le best practice durante la configurazione di SSH.
Onefs ha abilitato gli algoritmi di scambio chiavi diffie-hellman-group-exchange-sha1, contrassegnati come vulnerabilità dallo scanner.
In un report di scansione delle vulnerabilità potrebbe essere visualizzata la seguente descrizione:
Vulnerability: Impostazioni
di crittografia SSH obsoleteMINACCIA: Il protocollo SSH (Secure Shell) è un metodo per l'accesso remoto sicuro da un computer a un altro. La destinazione utilizza impostazioni crittografiche SSH obsolete per comunicare.
IMPATTO: Un utente malintenzionato man-in-the-middle può essere in grado di sfruttare questa vulnerabilità per registrare la comunicazione e decrittografare la chiave di sessione e persino i messaggi.
SOLUZIONE: Evitare di utilizzare impostazioni crittografiche obsolete. Utilizzare le best practice durante la configurazione di SSH.
Orsak
Quando il client ssh usa gli stessi algoritmi kex deboli per connettere Isilon tramite ssh, il client potrebbe esporre informazioni sensibili. In questo caso, si tratta di un impatto minore di Isilon/client.
Non siamo vulnerabili o influenzati da questi algoritmi.
Onefs 8.1.2 non è vulnerabile o influenzato da diffie-hellman-group-exchange-sha1:
SHA1 se utilizzato come algoritmo di firma causa un problema. L'algoritmo di firma utilizzato da TLS è SHA256 con RSA.
In SSH usiamo diffie-hellman con sha1 nell'algoritmo kex. Ma questi algoritmi vengono selezionati nella preferenza ordinata. L'algoritmo SHA2 è presente in cima all'elenco, quindi SHA1 è elencato per la compatibilità con le versioni precedenti.
Server e client vengono negotiate e viene selezionato quello corrispondente nell'elenco. Quindi, se i client vengono mantenuti aggiornati con gli algoritmi kex, non ci saranno ulteriori problemi e non ci sarà alcuna questione di diffie-hellman con SHA1 selezionato come algoritmo kex.
Onefs lo ha rimosso nell'ultima versione (8.2.2 sopra)
Non siamo vulnerabili o influenzati da questi algoritmi.
Onefs 8.1.2 non è vulnerabile o influenzato da diffie-hellman-group-exchange-sha1:
SHA1 se utilizzato come algoritmo di firma causa un problema. L'algoritmo di firma utilizzato da TLS è SHA256 con RSA.
In SSH usiamo diffie-hellman con sha1 nell'algoritmo kex. Ma questi algoritmi vengono selezionati nella preferenza ordinata. L'algoritmo SHA2 è presente in cima all'elenco, quindi SHA1 è elencato per la compatibilità con le versioni precedenti.
Server e client vengono negotiate e viene selezionato quello corrispondente nell'elenco. Quindi, se i client vengono mantenuti aggiornati con gli algoritmi kex, non ci saranno ulteriori problemi e non ci sarà alcuna questione di diffie-hellman con SHA1 selezionato come algoritmo kex.
Onefs lo ha rimosso nell'ultima versione (8.2.2 sopra)
Upplösning
Se è necessario rimuoverlo da 8.1.2 o non è possibile eseguire l'aggiornamento a OneFS 8.2.2 o versioni successive, questa è la soluzione alternativa per rimuovere gli algoritmi kex deboli:
Controllare gli algoritmi kex di Onefs 8.2.2, questo algoritmo kex debole è stato rimosso:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se presente, modificare la configurazione ssh per rimuoverla dagli algoritmi kex consentiti.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Riavviare il servizio SSHD:
# isi_for_array 'killall -HUP sshd'
Controllare gli algoritmi kex di Onefs 8.2.2, questo algoritmo kex debole è stato rimosso:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se presente, modificare la configurazione ssh per rimuoverla dagli algoritmi kex consentiti.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Riavviare il servizio SSHD:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.