Objetivo
Este documento é ajudar a pesquisar defeitos/edições ssh da resolução aos nexos 9000 após a upgrade de código.
Introdução
Antes que nós mergulho profundo na causa do ssh emitamos, é necessário saber sobre a seguinte vulnerabilidade (o modo de CBC do servidor de SSH calcula os algoritmos fracos permitida & SSH MAC permitidos) que afeta a plataforma do nexo 9000.
CVE ID: CVE 2008-5161 (o modo de CBC do servidor de SSH calcula os algoritmos fracos permitida & SSH MAC permitidos)
Descrição da edição: As cifras do modo de CBC do servidor de SSH permitiram a vulnerabilidade (as cifras do modo de CBC do servidor de SSH permitidas)
O servidor de SSH é configurado para apoiar a criptografia do Cipher Block Chaining (CBC). Isto pode permitir que um atacante recupere a mensagem do texto simples do texto cifrado. Note que este somente verificações de encaixe para as opções do servidor de SSH e não o verifique para ver se há versões de software vulneráveis.
Solução recomendada dada:
Desabilite a criptografia da cifra do modo de CBC, e permita modo da cifra CTR ou GCM
criptografia.
Referência
008-5161
Problema
Após ter promovido o código 7.0(3)I2(1) aos nós somos incapazes ao nexo 9000 e obtenção do ssh depois do erro
no matching cipher found: client aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc,rijndael-cbc@lysator.liu.se server aes128-ctr,aes192-ctr,aes256-ctr
Solução
A razão atrás de incapaz aos nexos 9000 do ssh após o melhoramento para codificar 7.0(3)I2(1) e mais atrasado, é Cihpers fraco é desabilitada através do reparo CSCuv39937.
A solução a longo prazo para este problema é usar actualizado/o mais tarde o cliente SSH que tem cifras fracas velhas desabilitadas.
A solução temporária pode ser adicionar para trás cifras fracas de seguimento no nexo 9000.
The following line is added to the file dcos_sshd_config file
aes128-cbc,3des-cbc,aes192-cbc,aes256-cbc
n9k#Config tn9k(config)#feature bash-shelln9k(config)#Run bashbash-4.2$ sudo su -
root@N9K-1#cd /isan/etc
root@N9K-1#cat dcos_sshd_config | egrep Cipher
#CSCun41202 : Disable weaker Ciphers and MACs
Ciphers aes128-ctr,aes192-ctr,aes256-ctr <<<< only allowed ciphers (eliminate known vulnerability).
!! Create a back up of the existing SSHD_CONFIG
root@N9K-1#mv dcos_sshd_config dcos_sshd_config.backup
!! comment out the cipher line and save to config (effectively removing the restriction)
cat dcos_sshd_config.backup | sed 's@^Cipher@# Cipher@g' > dcos_sshd_config
!! Verify
root@N9K-1#cat dcos_sshd_config | egrep Cipher
#CSCun41202 : Disable weaker Ciphers and MACs
# Ciphers aes128-ctr,aes192-ctr,aes256-ctr <<<<<<<<< sed inserted a comment # before Cipher (to remove the limitation)root@N9K-1#exit
logout
bash-4.2$ exit
exit
N9K-1(config)# no feature bash
N9K-1(config)# exit
Note que adicionando as cifras velhas o suportam estão indo usar cifras e daqui o risco de segurança fracos.
Feedback