PowerScale: Алгоритм обміну ключами SSH позначається сканерами вразливостей безпеки: diffie-hellman-group1-sha1
Sammanfattning: У цій статті описано, як виправити цю вразливість для Isilon, яка не є критичною, але може з'явитися під час сканування вразливостей як слабкий шифр.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Алгоритми обміну ключами SSHD.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Onefs увімкнув алгоритми обміну ключами diffie-hellman-group-exchange-sha1, що позначається сканером як вразливість.
У звіті про сканування вразливостей може з'явитися такий опис:
Вразливість: Застарілі криптографічні налаштування
SSHЗАГРОЗА: Протокол SSH (Secure Shell) — це метод безпечного віддаленого входу з одного комп'ютера на інший. Ціль використовує застарілі криптографічні параметри SSH для зв'язку.
ВПЛИВ: Зловмисник типу "людина посередині" може скористатися цією вразливістю для запису спілкування, щоб розшифрувати ключ сеансу і навіть повідомлення.
РІШЕННЯ: Уникайте використання застарілих криптографічних параметрів. Користуйтеся рекомендаціями щодо налаштовування SSH.
Orsak
Якщо клієнт ssh використовує ті самі слабкі алгоритми kex для з'єднання Isilon за допомогою ssh, клієнт може розкрити конфіденційні дані. У цьому випадку це менший вплив Ісілона/Клієнта.
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Ми не вразливі і не піддаємося впливу цих алгоритмів.
Onefs 8.1.2 не вразливий і не піддається впливу diffie-hellman-group-exchange-sha1:SHA1,
якщо використовується, оскільки алгоритм підпису спричиняє проблему. Алгоритм підпису, який використовується в TLS, - це SHA256 з RSA.
У SSH ми використовуємо diffie-hellman з sha1 в алгоритмі kex. Але ці алгоритми вибираються в упорядкованому порядку. Алгоритм SHA2 присутній у верхній частині списку, а потім SHA1 перераховані для зворотної сумісності.
Сервер і клієнт ведуть переговори, і вибирається той, який збігається в списку. Отже, якщо клієнти будуть постійно оновлюватися за допомогою алгоритмів kex, то не виникне жодних подальших проблем і не виникне питання про те, що SHA1 буде обрано як алгоритм kex.
Onefs видалив його в останній версії (8.2.2 вище)
Upplösning
Якщо вам потрібно вилучити його з версії 8.1.2 або ви не можете оновитися до OneFS 8.2.2 або новішої версії, ось обхідний шлях для вилучення слабких алгоритмів kex:
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Перевірте алгоритми kex у Onefs 8.2.2, цей слабкий алгоритм kex було вилучено:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Якщо вказано, змініть налаштування ssh, щоб вилучити їх із дозволених алгоритмів kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустити службу SSHD:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.