PowerScale: Los escáneres de vulnerabilidades de seguridad marcan el algoritmo de intercambio de claves SSH: diffie-hellman-group1-sha1
Sammanfattning: En este artículo, se describe cómo corregir esta vulnerabilidad para Isilon, que no es crítica, pero puede aparecer en los análisis de vulnerabilidades como un cifrado débil.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Algoritmos de intercambio de claves SSHD.
Onefs habilitó los algoritmos de intercambio de claves diffie-hellman-group-exchange-sha1, que el escáner marca como una vulnerabilidad.
Es posible que aparezca la siguiente descripción en un informe de análisis de vulnerabilidad:
Vulnerabilidad: Configuración criptográfica
SSH obsoletaAMENAZA: El protocolo SSH (Secure Shell) es un método para el inicio de sesión remoto seguro de una computadora a otra. El destino utiliza ajustes criptográficos SSH obsoletos para comunicarse.
IMPACTO: Un atacante de intermediario puede aprovechar esta vulnerabilidad para grabar la comunicación con el fin de descifrar la clave de sesión e incluso los mensajes.
SOLUCIÓN: Evite usar ajustes criptográficos obsoletos. Use las prácticas recomendadas cuando configure SSH.
Onefs habilitó los algoritmos de intercambio de claves diffie-hellman-group-exchange-sha1, que el escáner marca como una vulnerabilidad.
Es posible que aparezca la siguiente descripción en un informe de análisis de vulnerabilidad:
Vulnerabilidad: Configuración criptográfica
SSH obsoletaAMENAZA: El protocolo SSH (Secure Shell) es un método para el inicio de sesión remoto seguro de una computadora a otra. El destino utiliza ajustes criptográficos SSH obsoletos para comunicarse.
IMPACTO: Un atacante de intermediario puede aprovechar esta vulnerabilidad para grabar la comunicación con el fin de descifrar la clave de sesión e incluso los mensajes.
SOLUCIÓN: Evite usar ajustes criptográficos obsoletos. Use las prácticas recomendadas cuando configure SSH.
Orsak
Cuando el cliente ssh utiliza los mismos algoritmos kex débiles para conectarse a Isilon a través de SSH, el cliente puede exponer información confidencial. En este caso, el impacto de Isilon/cliente es menor.
Estos algoritmos no nos hacen vulnerables ni nos afectan.
OneFS 8.1.2 no es vulnerable ni se ve afectado por diffie-hellman-group-exchange-sha1:
SHA1 si se utiliza como algoritmo de firma y causa un problema. El algoritmo de firma que utiliza TLS es SHA256 con RSA.
En SSH usamos diffie-hellman con sha1 en el algoritmo kex. Pero esos algoritmos se seleccionan en la preferencia ordenada. El algoritmo SHA2 está presente en la parte superior de la lista y, a continuación, SHA1 se enumera para la compatibilidad con versiones anteriores.
El servidor y el cliente negocian y se selecciona el que coincida en la lista. Por lo tanto, si los clientes se mantienen actualizados con algoritmos kex, entonces no habrá más problemas y no habrá duda de que diffie-hellman con SHA1 se seleccionará como algoritmo kex.
Onefs lo eliminó en la última versión (8.2.2 anterior)
Estos algoritmos no nos hacen vulnerables ni nos afectan.
OneFS 8.1.2 no es vulnerable ni se ve afectado por diffie-hellman-group-exchange-sha1:
SHA1 si se utiliza como algoritmo de firma y causa un problema. El algoritmo de firma que utiliza TLS es SHA256 con RSA.
En SSH usamos diffie-hellman con sha1 en el algoritmo kex. Pero esos algoritmos se seleccionan en la preferencia ordenada. El algoritmo SHA2 está presente en la parte superior de la lista y, a continuación, SHA1 se enumera para la compatibilidad con versiones anteriores.
El servidor y el cliente negocian y se selecciona el que coincida en la lista. Por lo tanto, si los clientes se mantienen actualizados con algoritmos kex, entonces no habrá más problemas y no habrá duda de que diffie-hellman con SHA1 se seleccionará como algoritmo kex.
Onefs lo eliminó en la última versión (8.2.2 anterior)
Upplösning
Si necesita eliminarlo de 8.1.2 o no puede actualizar a OneFS 8.2.2 o posterior, esta es la solución alternativa para eliminar los algoritmos kex débiles:
Verifique los algoritmos kex de Onefs 8.2.2, este algoritmo kex débil se ha eliminado:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si está presente, modifique la configuración de ssh para eliminarla de los algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie el servicio SSHD:
# isi_for_array 'killall -HUP sshd'
Verifique los algoritmos kex de Onefs 8.2.2, este algoritmo kex débil se ha eliminado:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Si está presente, modifique la configuración de ssh para eliminarla de los algoritmos kex permitidos.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Reinicie el servicio SSHD:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.