PowerScale: SSH Key Exchange Algorithm is gemarkeerd door security vulnerability scanners: diffie-hellman-group1-sha1
Sammanfattning: In dit artikel wordt beschreven hoe u dit beveiligingslek kunt verhelpen voor Isilon. Dit is niet kritiek, maar kan in kwetsbaarheidsscans worden weergegeven als een zwakke codering.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Algoritmen voor het uitwisselen van SSHD-sleutels.
Onefs heeft sleuteluitwisselingsalgoritmen diffie-hellman-group-exchange-sha1 ingeschakeld, wat door de scanner als een kwetsbaarheid is gemarkeerd.
De volgende beschrijving kan worden weergegeven in een beveiligingsscanrapport:
Beveiligingslek: Afgeschafte SSH cryptografische instellingen
BEDREIGING: Het SSH-protocol (Secure Shell) is een methode om veilig op afstand in te loggen van de ene computer naar de andere. Het doel gebruikt verouderde cryptografische SSH-instellingen om te communiceren.
IMPACT: Een man-in-the-middle-aanvaller kan dit beveiligingslek misbruiken om de communicatie op te nemen om de sessiesleutel en zelfs de berichten te ontsleutelen.
OPLOSSING: Vermijd het gebruik van verouderde cryptografische instellingen. Gebruik de best practices bij het configureren van SSH.
Onefs heeft sleuteluitwisselingsalgoritmen diffie-hellman-group-exchange-sha1 ingeschakeld, wat door de scanner als een kwetsbaarheid is gemarkeerd.
De volgende beschrijving kan worden weergegeven in een beveiligingsscanrapport:
Beveiligingslek: Afgeschafte SSH cryptografische instellingen
BEDREIGING: Het SSH-protocol (Secure Shell) is een methode om veilig op afstand in te loggen van de ene computer naar de andere. Het doel gebruikt verouderde cryptografische SSH-instellingen om te communiceren.
IMPACT: Een man-in-the-middle-aanvaller kan dit beveiligingslek misbruiken om de communicatie op te nemen om de sessiesleutel en zelfs de berichten te ontsleutelen.
OPLOSSING: Vermijd het gebruik van verouderde cryptografische instellingen. Gebruik de best practices bij het configureren van SSH.
Orsak
Wanneer de ssh-client dezelfde zwakke kex-algoritmen gebruikt om Isilon via ssh te verbinden, kan de client gevoelige informatie vrijgeven. In dit geval is dit minder impact van Isilon/Client.
We zijn niet kwetsbaar of beïnvloed door deze algoritmen.
Onefs 8.1.2 is niet kwetsbaar of wordt niet beïnvloed door diffie-hellman-group-exchange-sha1:
SHA1 indien gebruikt omdat het ondertekeningsalgoritme een probleem veroorzaakt. Het handtekeningalgoritme dat door TLS wordt gebruikt, is SHA256 met RSA.
In SSH gebruiken we diffie-hellman met sha1 in het kex-algoritme. Maar die algoritmen worden geselecteerd in de geordende voorkeur. Het SHA2-algoritme staat bovenaan de lijst en vervolgens wordt SHA1 vermeld voor achterwaartse compatibiliteit.
Server en client onderhandelen en degene die overeenkomt in de lijst wordt geselecteerd. Dus als klanten op de hoogte worden gehouden met kex-algoritmen, dan zullen er geen verdere problemen zijn en is er geen sprake van diffie-hellman met SHA1 die als kex-algoritme wordt geselecteerd.
Onefs heeft het verwijderd in de nieuwste versie (8.2.2 hierboven)
We zijn niet kwetsbaar of beïnvloed door deze algoritmen.
Onefs 8.1.2 is niet kwetsbaar of wordt niet beïnvloed door diffie-hellman-group-exchange-sha1:
SHA1 indien gebruikt omdat het ondertekeningsalgoritme een probleem veroorzaakt. Het handtekeningalgoritme dat door TLS wordt gebruikt, is SHA256 met RSA.
In SSH gebruiken we diffie-hellman met sha1 in het kex-algoritme. Maar die algoritmen worden geselecteerd in de geordende voorkeur. Het SHA2-algoritme staat bovenaan de lijst en vervolgens wordt SHA1 vermeld voor achterwaartse compatibiliteit.
Server en client onderhandelen en degene die overeenkomt in de lijst wordt geselecteerd. Dus als klanten op de hoogte worden gehouden met kex-algoritmen, dan zullen er geen verdere problemen zijn en is er geen sprake van diffie-hellman met SHA1 die als kex-algoritme wordt geselecteerd.
Onefs heeft het verwijderd in de nieuwste versie (8.2.2 hierboven)
Upplösning
Als u het moet verwijderen van 8.1.2 of niet kunt upgraden naar OneFS 8.2.2 of hoger, is dit de tijdelijke oplossing om zwakke kex-algoritmen te verwijderen:
Controleer de kex-algoritmen van Onefs 8.2.2, dit zwakke kex-algoritme is verwijderd:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Wijzig indien aanwezig de ssh-configuratie om deze te verwijderen uit de toegestane kex-algoritmen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start de SSHD-service opnieuw:
# isi_for_array 'killall -HUP sshd'
Controleer de kex-algoritmen van Onefs 8.2.2, dit zwakke kex-algoritme is verwijderd:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Wijzig indien aanwezig de ssh-configuratie om deze te verwijderen uit de toegestane kex-algoritmen.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start de SSHD-service opnieuw:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.