Sommige software van derden voor het scannen op kwetsbaarheden (bijvoorbeeld Nessus) kan zwakke algoritmen voor het uitwisselen van SSH-sleutels melden op Unity-arrays waarop OE 5.1.x wordt uitgevoerd:
- diffie-hellman-group-exchange-sha1
- diffie-hellman-groep1-sha1
- gss-gex-sha1-*
- gss-group1-sha1-*
- gss-group14-sha1-*
- RSA1024-SHA1
Hoe te identificeren:
- Om te bewijzen dat de gerapporteerde zwakke SSH-sleuteluitwisselingsalgoritmen zijn uitgeschakeld op Unity, kan de klant proberen om ssh naar Unity te sturen met de *-sha1-algoritmen die zijn opgegeven met behulp van de schakeloptie -okexalgorithms. De opdracht ssh mislukt en informeert de gebruiker over de beschikbare algoritmen voor sleuteluitwisseling op Unity.
[root@centos ~]# ssh service@5.6.7.11 -okexalgorithms=diffie-hellman-group-exchange-sha1
Unable to negotiate with 5.6.7.11 port 22: no matching key exchange method found. Their offer: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
- Een andere methode om te bevestigen welke algoritmen voor het uitwisselen van SSH-sleutels worden ondersteund op Unity, is dat de client ssh naar Unity kan sturen met de foutopsporingsmodus ingeschakeld met behulp van de -vvv-schakeloptie. In het logboek voor foutopsporing worden de ondersteunde algoritmen voor het uitwisselen van SSH-sleutels op Unity als volgt weergegeven:
ssh -vvv 5.6.7.11
<snip>
debug2: local client KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group-exchange-sha1,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1,diffie-hellman-group1-sha1,ext-info-c <<<<< available key exchange algorithms on client
<snip>
debug2: peer server KEXINIT proposal
debug2: KEX algorithms: curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256 <<<<<< available key exchange algorithms on Unity
Dit is een fout-positief omdat alle sha1-sleuteluitwisselingsalgoritmen zijn uitgeschakeld/verwijderd sinds Unity 5.1.0.
Klanten moeten contact opnemen met de leverancier van hun externe softwareleverancier voor het scannen van kwetsbaarheden om verder te onderzoeken hoe hun software het Unity-systeem scant om te begrijpen waarom dergelijke fout-positieven worden gegenereerd.