PowerScale: SSH Key Exchange Algorithm er flagget av sikkerhetssårbarhet skannere: diffie-hellman-group1-sha1
Sammanfattning: Denne artikkelen beskriver hvordan du løser dette sikkerhetsproblemet for Isilon, som ikke er kritisk, men som kan vises i sårbarhetsskanninger som en svak chiffer.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
SSHD-nøkkelutvekslingsalgoritmer.
Onefs aktiverte nøkkelutvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er merket som et sikkerhetsproblem av skanneren.
Følgende beskrivelse kan vises i en rapport for sårbarhetsskanning: Sikkerhetsproblem:
Avskrevne kryptografiske innstillinger
for SSHTRUSSEL: SSH-protokollen (Secure Shell) er en metode for sikker ekstern pålogging fra en datamaskin til en annen. Målet bruker avskrevet SSH-kryptografiske innstillinger for å kommunisere.
INNVIRKNING: En mellommann-i-midten-angriper kan utnytte dette sikkerhetsproblemet til å registrere kommunikasjonen for å dekryptere øktnøkkelen og til og med meldingene.
LØSNING: Unngå å bruke avskrevne kryptografiske innstillinger. Bruk anbefalte fremgangsmåter ved konfigurering av SSH.
Onefs aktiverte nøkkelutvekslingsalgoritmer diffie-hellman-group-exchange-sha1, som er merket som et sikkerhetsproblem av skanneren.
Følgende beskrivelse kan vises i en rapport for sårbarhetsskanning: Sikkerhetsproblem:
Avskrevne kryptografiske innstillinger
for SSHTRUSSEL: SSH-protokollen (Secure Shell) er en metode for sikker ekstern pålogging fra en datamaskin til en annen. Målet bruker avskrevet SSH-kryptografiske innstillinger for å kommunisere.
INNVIRKNING: En mellommann-i-midten-angriper kan utnytte dette sikkerhetsproblemet til å registrere kommunikasjonen for å dekryptere øktnøkkelen og til og med meldingene.
LØSNING: Unngå å bruke avskrevne kryptografiske innstillinger. Bruk anbefalte fremgangsmåter ved konfigurering av SSH.
Orsak
Når ssh-klienten bruker de samme svake kex-algoritmene for å koble Isilon via ssh, kan klienten avsløre sensitiv informasjon. I dette tilfellet er dette mindre påvirkning av Isilon/Client.
Vi er ikke sårbare eller påvirket av disse algoritmene.
Onefs 8.1.2 er ikke sårbar eller påvirket av diffie-hellman-group-exchange-sha1:
SHA1 hvis den brukes som signeringsalgoritme forårsaker et problem. Signaturalgoritmen som brukes av TLS er SHA256 med RSA.
I SSH bruker vi diffie-hellman med sha1 i kex-algoritmen. Men disse algoritmene er valgt i den bestilte preferansen. SHA2-algoritmen finnes øverst på listen, og deretter vises SHA1 for bakoverkompatibilitet.
Server og klient forhandler, og den som samsvarer i listen er valgt. Så hvis klienter holdes oppdatert med kex-algoritmer, vil det ikke være flere problemer og ingen spørsmål om diffie-hellman med SHA1 valgt som kex-algoritme.
Onefs fjernet den i nyeste versjon (8.2.2 ovenfor)
Vi er ikke sårbare eller påvirket av disse algoritmene.
Onefs 8.1.2 er ikke sårbar eller påvirket av diffie-hellman-group-exchange-sha1:
SHA1 hvis den brukes som signeringsalgoritme forårsaker et problem. Signaturalgoritmen som brukes av TLS er SHA256 med RSA.
I SSH bruker vi diffie-hellman med sha1 i kex-algoritmen. Men disse algoritmene er valgt i den bestilte preferansen. SHA2-algoritmen finnes øverst på listen, og deretter vises SHA1 for bakoverkompatibilitet.
Server og klient forhandler, og den som samsvarer i listen er valgt. Så hvis klienter holdes oppdatert med kex-algoritmer, vil det ikke være flere problemer og ingen spørsmål om diffie-hellman med SHA1 valgt som kex-algoritme.
Onefs fjernet den i nyeste versjon (8.2.2 ovenfor)
Upplösning
Hvis du må fjerne den fra 8.1.2 eller ikke kan oppgradere til OneFS 8.2.2 eller nyere, er dette løsningen for å fjerne svake kex-algoritmer:
Sjekk kex-algoritmene til Onefs 8.2.2, denne svake kex-algoritmen er fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis det finnes, endrer du ssh-konfigurasjonen for å fjerne den fra tillatte kex-algoritmer.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start SSHD-tjenesten på nytt:
# isi_for_array 'killall-HUP sshd'
Sjekk kex-algoritmene til Onefs 8.2.2, denne svake kex-algoritmen er fjernet:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Hvis det finnes, endrer du ssh-konfigurasjonen for å fjerne den fra tillatte kex-algoritmer.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Start SSHD-tjenesten på nytt:
# isi_for_array 'killall-HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.