PowerScale: SSH-avaimenvaihtoalgoritmi on merkitty tietoturvan haavoittuvuusskannereilla: diffie-hellman-group1-sha1
Sammanfattning: Tässä artikkelissa kuvataan, miten korjataan tämä Isilon-haavoittuvuus, joka ei ole kriittinen, mutta saattaa näkyä heikkona salauksena.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
SSHD-avainten vaihtoalgoritmit.
Onefs otti käyttöön avaintenvaihtoalgoritmit diffie-hellman-group-exchange-sha1, jonka skanneri on merkinnyt haavoittuvuudeksi.
Seuraava kuvaus saattaa näkyä haavoittuvuustarkistusraportissa:
Haavoittuvuus: Vanhentuneet SSH-salausasetukset
UHKA: SSH-protokolla (Secure Shell) on menetelmä turvalliseen etäkirjautumiseen tietokoneesta toiseen. Kohde käyttää vanhentuneet SSH-salausasetukset viestintään.
VAIKUTUS: Mies välissä -hyökkääjä saattaa pystyä hyödyntämään tätä haavoittuvuutta tallentaakseen tietoliikenteen istuntoavaimen ja jopa viestien salauksen purkamiseksi.
RATKAISU: Älä käytä vanhentuneita salausasetuksia. Käytä parhaita käytäntöjä määrittäessäsi SSH:ta.
Onefs otti käyttöön avaintenvaihtoalgoritmit diffie-hellman-group-exchange-sha1, jonka skanneri on merkinnyt haavoittuvuudeksi.
Seuraava kuvaus saattaa näkyä haavoittuvuustarkistusraportissa:
Haavoittuvuus: Vanhentuneet SSH-salausasetukset
UHKA: SSH-protokolla (Secure Shell) on menetelmä turvalliseen etäkirjautumiseen tietokoneesta toiseen. Kohde käyttää vanhentuneet SSH-salausasetukset viestintään.
VAIKUTUS: Mies välissä -hyökkääjä saattaa pystyä hyödyntämään tätä haavoittuvuutta tallentaakseen tietoliikenteen istuntoavaimen ja jopa viestien salauksen purkamiseksi.
RATKAISU: Älä käytä vanhentuneita salausasetuksia. Käytä parhaita käytäntöjä määrittäessäsi SSH:ta.
Orsak
Kun ssh-asiakas käyttää samoja heikkoja keks-algoritmeja yhdistääkseen Isilonin ssh:n kautta, asiakas saattaa paljastaa arkaluonteisia tietoja. Tässä tapauksessa Isilonin/Clientin vaikutus on pienempi.
Nämä algoritmit eivät vaikuta meihin.
Diffie-hellman-group-exchange-sha1:
SHA1 ei vaikuta Onefs 8.1.2:een, jos sitä käytetään allekirjoitusalgoritmina, joka aiheuttaa ongelman. TLS:n käyttämä allekirjoitusalgoritmi on SHA256 ja RSA.
SSH: ssa käytämme diffie-hellmania sha1: n kanssa kex -algoritmissa. Mutta nämä algoritmit valitaan järjestyksessä. SHA2-algoritmi on luettelon yläosassa, ja sitten SHA1 on lueteltu taaksepäin yhteensopivuuden vuoksi.
Palvelin ja asiakas neuvottelevat ja luettelossa oleva vaihtoehto valitaan. Joten jos asiakkaita päivitetään kex-algoritmeilla, ei ole enää ongelmia eikä kysymys siitä, että diffie-hellman SHA1: n kanssa valitaan kex -algoritmiksi.
Onefs poisti sen uusimmassa versiossa (8.2.2 yllä)
Nämä algoritmit eivät vaikuta meihin.
Diffie-hellman-group-exchange-sha1:
SHA1 ei vaikuta Onefs 8.1.2:een, jos sitä käytetään allekirjoitusalgoritmina, joka aiheuttaa ongelman. TLS:n käyttämä allekirjoitusalgoritmi on SHA256 ja RSA.
SSH: ssa käytämme diffie-hellmania sha1: n kanssa kex -algoritmissa. Mutta nämä algoritmit valitaan järjestyksessä. SHA2-algoritmi on luettelon yläosassa, ja sitten SHA1 on lueteltu taaksepäin yhteensopivuuden vuoksi.
Palvelin ja asiakas neuvottelevat ja luettelossa oleva vaihtoehto valitaan. Joten jos asiakkaita päivitetään kex-algoritmeilla, ei ole enää ongelmia eikä kysymys siitä, että diffie-hellman SHA1: n kanssa valitaan kex -algoritmiksi.
Onefs poisti sen uusimmassa versiossa (8.2.2 yllä)
Upplösning
Jos se on poistettava versiosta 8.1.2 tai sitä ei voi päivittää OneFS 8.2.2 -versioon tai uudempaan, voit kiertää heikot kex-algoritmit seuraavasti:
Tarkista Onefs 8.2.2:n kex-algoritmit, tämä heikko kex-algoritmi on poistettu:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jos sellainen on, muokkaa ssh-kokoonpanoa poistaaksesi sen sallituista kex-algoritmeista.
# isi ssh modify --kex-algorithms=käyrä25519-sha256,käyrä25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Käynnistä SSHD-palvelu uudelleen:
# isi_for_array 'killall -HUP sshd'
Tarkista Onefs 8.2.2:n kex-algoritmit, tämä heikko kex-algoritmi on poistettu:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jos sellainen on, muokkaa ssh-kokoonpanoa poistaaksesi sen sallituista kex-algoritmeista.
# isi ssh modify --kex-algorithms=käyrä25519-sha256,käyrä25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Käynnistä SSHD-palvelu uudelleen:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.