PowerScale: SSH 키 교환 알고리즘이 보안 취약성 스캐너에 의해 플래그 지정됨: diffie-hellman-group1-sha1
Sammanfattning: 이 문서에서는 중요하지는 않지만 취약성 검사에서 취약한 암호로 나타날 수 있는 Isilon의 취약성을 해결하는 방법을 설명합니다.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
SSHD 키 교환 알고리즘.
OneFS는 스캐너에 의해 취약점으로 표시된 주요 교환 알고리즘 diffie-hellman-group-exchange-sha1을 활성화했습니다.
취약성 검사 보고서에는 다음과 같은 설명이 나타날 수 있습니다.
취약성: 더 이상 사용되지 않는 SSH 암호화 설정
위협: SSH 프로토콜(Secure Shell)은 한 컴퓨터에서 다른 컴퓨터로 안전하게 원격 로그인하는 방법입니다. 타겟이 더 이상 사용되지 않는 SSH 암호화 설정을 사용하여 통신하고 있습니다.
영향: 메시지 가로채기(man-in-the-middle) 공격자는 이 취약점을 악용하여 세션 키와 메시지의 암호를 해독하기 위한 통신을 기록할 수 있습니다.
솔루션: 사용되지 않는 암호화 설정을 사용하지 마십시오. SSH를 구성할 때는 모범 사례를 활용하십시오.
OneFS는 스캐너에 의해 취약점으로 표시된 주요 교환 알고리즘 diffie-hellman-group-exchange-sha1을 활성화했습니다.
취약성 검사 보고서에는 다음과 같은 설명이 나타날 수 있습니다.
취약성: 더 이상 사용되지 않는 SSH 암호화 설정
위협: SSH 프로토콜(Secure Shell)은 한 컴퓨터에서 다른 컴퓨터로 안전하게 원격 로그인하는 방법입니다. 타겟이 더 이상 사용되지 않는 SSH 암호화 설정을 사용하여 통신하고 있습니다.
영향: 메시지 가로채기(man-in-the-middle) 공격자는 이 취약점을 악용하여 세션 키와 메시지의 암호를 해독하기 위한 통신을 기록할 수 있습니다.
솔루션: 사용되지 않는 암호화 설정을 사용하지 마십시오. SSH를 구성할 때는 모범 사례를 활용하십시오.
Orsak
ssh 클라이언트가 동일한 취약한 kex 알고리듬을 사용하여 ssh를 통해 Isilon을 연결하는 경우 클라이언트가 기밀 정보를 노출할 수 있습니다. 이 경우 Isilon/Client의 영향이 적습니다.
우리는 이러한 알고리즘에 취약하거나 영향을 받지 않습니다.
서명 알고리즘을 사용하면 문제가 발생하므로 OneFS 8.1.2는 diffie-hellman-group-exchange-sha1:
SHA1에 취약하거나 영향을 받지 않습니다. TLS에서 사용하는 서명 알고리즘은 RSA를 사용하는 SHA256입니다.
SSH에서는 kex 알고리즘에서 sha1과 함께 diffie-hellman을 사용합니다. 그러나 이러한 알고리즘은 순서가 지정된 기본 설정으로 선택됩니다. SHA2 알고리즘이 목록의 맨 위에 있고 SHA1은 이전 버전과의 호환성을 위해 나열됩니다.
서버와 클라이언트가 협상하고 목록에서 일치하는 항목이 선택됩니다. 따라서 클라이언트가 kex 알고리즘으로 업데이트되면 SHA1이 kex 알고리즘으로 선택되는 diffie-hellman에 대한 추가 문제와 의문의 여지가 없습니다.
Onefs는 최신 버전 (8.2.2 이상)에서 제거했습니다.
우리는 이러한 알고리즘에 취약하거나 영향을 받지 않습니다.
서명 알고리즘을 사용하면 문제가 발생하므로 OneFS 8.1.2는 diffie-hellman-group-exchange-sha1:
SHA1에 취약하거나 영향을 받지 않습니다. TLS에서 사용하는 서명 알고리즘은 RSA를 사용하는 SHA256입니다.
SSH에서는 kex 알고리즘에서 sha1과 함께 diffie-hellman을 사용합니다. 그러나 이러한 알고리즘은 순서가 지정된 기본 설정으로 선택됩니다. SHA2 알고리즘이 목록의 맨 위에 있고 SHA1은 이전 버전과의 호환성을 위해 나열됩니다.
서버와 클라이언트가 협상하고 목록에서 일치하는 항목이 선택됩니다. 따라서 클라이언트가 kex 알고리즘으로 업데이트되면 SHA1이 kex 알고리즘으로 선택되는 diffie-hellman에 대한 추가 문제와 의문의 여지가 없습니다.
Onefs는 최신 버전 (8.2.2 이상)에서 제거했습니다.
Upplösning
8.1.2에서 제거해야 하거나 OneFS 8.2.2 이상으로 업그레이드할 수 없는 경우 약한 kex 알고리즘을 제거하는 해결 방법은 다음과 같습니다.Onefs
8.2.2의 kex 알고리즘을 확인하십시오. 이 약한 kex 알고리즘은 제거되었습니다.
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
ssh 구성이 있는 경우 ssh 구성을 수정하여 허용된 kex 알고리즘에서 제거합니다.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
SSHD 서비스 재시작:
# isi_for_array 'killall -HUP sshd'
8.2.2의 kex 알고리즘을 확인하십시오. 이 약한 kex 알고리즘은 제거되었습니다.
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
ssh 구성이 있는 경우 ssh 구성을 수정하여 허용된 kex 알고리즘에서 제거합니다.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
SSHD 서비스 재시작:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.