PowerScale: Algorytm wymiany kluczy SSH jest oznaczony przez skanery luk w zabezpieczeniach: diffie-hellman-group1-sha1
Sammanfattning: W tym artykule opisano, jak naprawić tę lukę w zabezpieczeniach Isilon, która nie jest krytyczna, ale może pojawiać się w skanowaniu luk jako słaby szyfr.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Algorytmy wymiany kluczy SSHD.
Onefs włączył algorytmy wymiany kluczy diffie-hellman-group-exchange-sha1, który jest oznaczony przez skaner jako luka w zabezpieczeniach.
W raporcie skanowania luk w zabezpieczeniach może pojawić się następujący opis:
Luka w zabezpieczeniach: Przestarzałe ustawienia
kryptograficzne SSHZAGROŻENIE: Protokół SSH (Secure Shell) to metoda bezpiecznego zdalnego logowania z jednego komputera na drugi. Cel używa przestarzałych ustawień kryptograficznych SSH do komunikacji.
WPŁYW: Osoba atakująca typu man-in-the-middle może być w stanie wykorzystać tę lukę do nagrania komunikacji w celu odszyfrowania klucza sesji, a nawet wiadomości.
ROZWIĄZANIE: Unikaj używania przestarzałych ustawień kryptograficznych. Podczas konfigurowania protokołu SSH należy kierować się najlepszymi rozwiązaniami.
Onefs włączył algorytmy wymiany kluczy diffie-hellman-group-exchange-sha1, który jest oznaczony przez skaner jako luka w zabezpieczeniach.
W raporcie skanowania luk w zabezpieczeniach może pojawić się następujący opis:
Luka w zabezpieczeniach: Przestarzałe ustawienia
kryptograficzne SSHZAGROŻENIE: Protokół SSH (Secure Shell) to metoda bezpiecznego zdalnego logowania z jednego komputera na drugi. Cel używa przestarzałych ustawień kryptograficznych SSH do komunikacji.
WPŁYW: Osoba atakująca typu man-in-the-middle może być w stanie wykorzystać tę lukę do nagrania komunikacji w celu odszyfrowania klucza sesji, a nawet wiadomości.
ROZWIĄZANIE: Unikaj używania przestarzałych ustawień kryptograficznych. Podczas konfigurowania protokołu SSH należy kierować się najlepszymi rozwiązaniami.
Orsak
Gdy klient ssh używa tych samych słabych algorytmów kex do łączenia się z Isilon przez ssh, klient może ujawnić poufne informacje. W tym przypadku wpływ Isilon/klienta jest mniejszy.
Te algorytmy nie są dla nas podatne na ataki ani nie mają na nas wpływu.
Onefs 8.1.2 nie jest podatny na ataki ani nie ma na niego wpływu diffie-hellman-group-exchange-sha1:SHA1,
jeśli jest używany jako algorytm podpisywania powoduje problem. Algorytm podpisu używany przez protokół TLS to SHA256 z RSA.
W SSH używamy diffie-hellmana z sha1 w algorytmie kex. Ale te algorytmy są wybierane zgodnie z uporządkowanymi preferencjami. Algorytm SHA2 znajduje się na górze listy, a następnie SHA1 są wymienione w celu zapewnienia zgodności z poprzednimi wersjami.
Serwer i klient negocjują i wybierany jest ten, który pasuje do listy. Jeśli więc klienci będą na bieżąco informowani o algorytmach kex, nie będzie dalszych problemów i nie będzie mowy o diffie-hellmanie z SHA1 wybranym jako algorytm kex.
Onefs usunął go w najnowszej wersji (8.2.2 powyżej)
Te algorytmy nie są dla nas podatne na ataki ani nie mają na nas wpływu.
Onefs 8.1.2 nie jest podatny na ataki ani nie ma na niego wpływu diffie-hellman-group-exchange-sha1:SHA1,
jeśli jest używany jako algorytm podpisywania powoduje problem. Algorytm podpisu używany przez protokół TLS to SHA256 z RSA.
W SSH używamy diffie-hellmana z sha1 w algorytmie kex. Ale te algorytmy są wybierane zgodnie z uporządkowanymi preferencjami. Algorytm SHA2 znajduje się na górze listy, a następnie SHA1 są wymienione w celu zapewnienia zgodności z poprzednimi wersjami.
Serwer i klient negocjują i wybierany jest ten, który pasuje do listy. Jeśli więc klienci będą na bieżąco informowani o algorytmach kex, nie będzie dalszych problemów i nie będzie mowy o diffie-hellmanie z SHA1 wybranym jako algorytm kex.
Onefs usunął go w najnowszej wersji (8.2.2 powyżej)
Upplösning
Jeśli musisz usunąć go z wersji 8.1.2 lub nie możesz uaktualnić do OneFS 8.2.2 lub nowszego, jest to obejście, aby usunąć słabe algorytmy kex:
Sprawdź algorytmy kex Onefs 8.2.2, ten słaby algorytm kex został usunięty:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jeśli jest obecny, zmodyfikuj konfigurację ssh, aby usunąć ją z dozwolonych algorytmów kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Uruchom ponownie usługę SSHD:
# isi_for_array 'killall -HUP sshd'
Sprawdź algorytmy kex Onefs 8.2.2, ten słaby algorytm kex został usunięty:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Jeśli jest obecny, zmodyfikuj konfigurację ssh, aby usunąć ją z dozwolonych algorytmów kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Uruchom ponownie usługę SSHD:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.