PowerScale. Алгоритм обмена ключами SSH помечен сканерами уязвимостей безопасности: diffie-hellman-group1-sha1
Сводка: В этой статье описано, как устранить эту уязвимость для Isilon, которая не является критической, но может отображаться при сканировании на наличие уязвимостей как слабый шифр.
Данная статья применяется к
Данная статья не применяется к
Эта статья не привязана к какому-либо конкретному продукту.
В этой статье указаны не все версии продуктов.
Симптомы
Алгоритмы обмена ключами SSHD.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Onefs включил алгоритмы обмена ключами diffie-hellman-group-exchange-sha1, который помечается сканером как уязвимость.
В отчете о сканировании уязвимостей может отображаться следующее описание:
Исключенные криптографические параметры
SSHTHREAT: Протокол SSH (Secure Shell) — это метод безопасного удаленного входа с одного компьютера на другой. Целевой объект использует устаревшие криптографические параметры SSH для связи.
ВЛИЯНИЕ: Злоумышленник может воспользоваться этой уязвимостью, чтобы записать обмен данными, расшифровать ключ сеанса и даже сообщения.
РЕШЕНИЕ: Избегайте использования устаревших параметров шифрования. Используйте передовые подходы при настройке SSH.
Причина
Если клиент SSH использует те же слабые алгоритмы kex для подключения Isilon по протоколу SSH, он может раскрыть конфиденциальную информацию. В этом случае это меньшее влияние Isilon/Client.
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Мы не уязвимы и не подвержены влиянию этих алгоритмов.
OneFS 8.1.2 не уязвима и не подвержена влиянию diffie-hellman-group-exchange-sha1:SHA1,
если используется в качестве алгоритма подписи, вызывающего проблему. TLS использует алгоритм подписи SHA256 с RSA.
В SSH мы используем diffie-hellman с sha1 в алгоритме kex. Но эти алгоритмы выбираются в упорядоченном предпочтении. Алгоритм SHA2 присутствует в верхней части списка, а затем SHA1 перечислены для обратной совместимости.
Сервер и клиент согласовываются, и выбирается тот, который соответствует в списке. Таким образом, если клиенты будут обновляться с помощью алгоритмов kex, то не будет никаких дальнейших проблем и не будет вопроса о том, что SHA1 будет выбран в качестве алгоритма kex.
Onefs удалил его в последней версии (8.2.2 выше)
Разрешение
Если вам нужно удалить его с версии 8.1.2 или вы не можете выполнить модернизацию до OneFS 8.2.2 или более поздней версии, это временное решение для удаления слабых алгоритмов kex:
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Проверьте алгоритмы kex OneFS 8.2.2, этот слабый алгоритм kex был удален:
# isi ssh view
# isi ssh view|grep diffie-hellman-group-exchange-sha1
Если присутствует, измените конфигурацию ssh, чтобы удалить ее из разрешенных алгоритмов kex.
# isi ssh modify --kex-algorithms=curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256
Перезапустите службу SSHD:
# isi_for_array 'killall -HUP sshd'
Затронутые продукты
PowerScale OneFSСвойства статьи
Номер статьи: 000195307
Тип статьи: Solution
Последнее изменение: 07 Sep 2022
Версия: 3
Получите ответы на свои вопросы от других пользователей Dell
Услуги технической поддержки
Проверьте, распространяются ли на ваше устройство услуги технической поддержки.