PowerScale. Алгоритм обмена ключами SSH помечен сканерами уязвимостей безопасности: diffie-hellman-group1-sha1
Sammanfattning: В этой статье описано, как устранить эту уязвимость для Isilon, которая не является критической, но может отображаться при сканировании на наличие уязвимостей как слабый шифр.
Den här artikeln gäller för
Den här artikeln gäller inte för
Den här artikeln är inte kopplad till någon specifik produkt.
Alla produktversioner identifieras inte i den här artikeln.
Symptom
Алгоритмы обмена ключами SSHD.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Orsak
Если клиент SSH использует те же слабые алгоритмы kex для подключения Isilon по протоколу SSH, он может раскрыть конфиденциальную информацию. В этом случае это меньшее влияние Isilon/Client.
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Upplösning
Если вам нужно удалить его с версии 8.1.2 или вы не можете выполнить модернизацию до OneFS 8.2.2 или более поздней версии, это временное решение для удаления слабых алгоритмов kex:
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Berörda produkter
PowerScale OneFSArtikelegenskaper
Artikelnummer: 000195307
Artikeltyp: Solution
Senast ändrad: 07 sep. 2022
Version: 3
Få svar på dina frågor från andra Dell-användare
Supporttjänster
Kontrollera om din enhet omfattas av supporttjänster.