PowerScale: O algoritmo de troca de chaves SSH é sinalizado pelos scanners de vulnerabilidade de segurança: diffie-hellman-group1-sha1
Sammanfattning: Este artigo descreve como corrigir essa vulnerabilidade no Isilon, que não é crítica, mas pode aparecer em verificações de vulnerabilidade como uma cifra fraca.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Algoritmos de troca de chaves SSHD.
O Onefs habilitou algoritmos de troca de chaves diffie-hellman-group-exchange-sha1, que é marcado como uma vulnerabilidade pelo scanner.
A seguinte descrição pode aparecer em um relatório de verificação de vulnerabilidade:
Vulnerabilidade: Configurações
criptográficas SSH obsoletasAMEAÇA: O protocolo SSH (Secure Shell) é um método de log-in remoto seguro de um computador para outro. O destino está usando configurações criptográficas SSH obsoletas para se comunicar.
IMPACTO: Um invasor intermediário pode explorar essa vulnerabilidade para gravar a comunicação e descriptografar a chave da sessão e até mesmo as mensagens.
SOLUÇÃO: Evite usar configurações criptográficas obsoletas. Use as práticas recomendadas ao configurar o SSH.
O Onefs habilitou algoritmos de troca de chaves diffie-hellman-group-exchange-sha1, que é marcado como uma vulnerabilidade pelo scanner.
A seguinte descrição pode aparecer em um relatório de verificação de vulnerabilidade:
Vulnerabilidade: Configurações
criptográficas SSH obsoletasAMEAÇA: O protocolo SSH (Secure Shell) é um método de log-in remoto seguro de um computador para outro. O destino está usando configurações criptográficas SSH obsoletas para se comunicar.
IMPACTO: Um invasor intermediário pode explorar essa vulnerabilidade para gravar a comunicação e descriptografar a chave da sessão e até mesmo as mensagens.
SOLUÇÃO: Evite usar configurações criptográficas obsoletas. Use as práticas recomendadas ao configurar o SSH.
Orsak
Quando o client ssh usa os mesmos algoritmos kex fracos para conectar o Isilon via ssh, o client pode expor informações confidenciais. Nesse caso, isso é menos impacto do Isilon/Client.
Não somos vulneráveis ou afetados por esses algoritmos.
O Onefs 8.1.2 não é vulnerável ou afetado por diffie-hellman-group-exchange-sha1:
SHA1 se usado como algoritmo de assinatura causa um problema. O algoritmo de assinatura que está sendo usado pelo TLS é SHA256 com RSA.
Em SSH usamos diffie-hellman com sha1 no algoritmo kex. Mas esses algoritmos são selecionados na preferência ordenada. O algoritmo SHA2 está presente na parte superior da lista e, em seguida, os SHA1 são listados para compatibilidade reversa.
Servidor e client negociam e o que corresponde na lista é selecionado. Então, se os clientes forem mantidos atualizados com algoritmos kex, então não haverá mais problemas e nenhuma questão de diffie-hellman com SHA1 sendo selecionado como algoritmo kex.
O Onefs removeu-o na versão mais recente (8.2.2 acima)
Não somos vulneráveis ou afetados por esses algoritmos.
O Onefs 8.1.2 não é vulnerável ou afetado por diffie-hellman-group-exchange-sha1:
SHA1 se usado como algoritmo de assinatura causa um problema. O algoritmo de assinatura que está sendo usado pelo TLS é SHA256 com RSA.
Em SSH usamos diffie-hellman com sha1 no algoritmo kex. Mas esses algoritmos são selecionados na preferência ordenada. O algoritmo SHA2 está presente na parte superior da lista e, em seguida, os SHA1 são listados para compatibilidade reversa.
Servidor e client negociam e o que corresponde na lista é selecionado. Então, se os clientes forem mantidos atualizados com algoritmos kex, então não haverá mais problemas e nenhuma questão de diffie-hellman com SHA1 sendo selecionado como algoritmo kex.
O Onefs removeu-o na versão mais recente (8.2.2 acima)
Upplösning
Se você precisar removê-lo da versão 8.1.2 ou não puder fazer upgrade para o OneFS 8.2.2 ou posterior, esta é a solução temporária para remover algoritmos kex fracos:
Verifique os algoritmos kex do Onefs 8.2.2, esse algoritmo kex fraco foi removido:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se houver, modifique a configuração ssh para removê-la dos algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie o serviço SSHD:
# isi_for_array 'killall -HUP sshd'
Verifique os algoritmos kex do Onefs 8.2.2, esse algoritmo kex fraco foi removido:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Se houver, modifique a configuração ssh para removê-la dos algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie o serviço SSHD:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.