Home > Debian, Linux, Sicherheit, Ubuntu > Debian OpenSSL Schwachstelle – Nicht die SSH-Keys vergessen

Debian OpenSSL Schwachstelle – Nicht die SSH-Keys vergessen

13. Mai 2008

Die OpenSSL-Schwachstelle in Debian Etch, Ubuntu von Feisty bis Gutsy und alle anderen Derivaten kann man getrost als GAU bezeichnen, denn die Konsequenzen können dramatisch sein. Leute die öfters mit Verschlüsselung zu tun haben wird der Satz

It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch

alarmierend genug sein. Ubuntu ist da deutlicher:

This includes the automatically generated host keys used by OpenSSH, which are the basis for its server spoofing and man-in-the-middle protection.

Genau, eigentlich jeder mit einen Server auf dem eines der obigen Betriebs-Systemen läuft ist damit direkt von dieser Sicherheitslücke betroffen. Um, zum Beispiel auf einen Root-Server, bei Debian Etch neue Keys zu erzeugen sollte man zur Sicherheit eine zweite SSH-Session aufmachen, dann die alten Keys löschen und neue erzeugen:

 # apt-get update && apt-get -y upgrade
# cd /etc/ssh
# rm ssh_host_*
# /var/lib/dpkg/info/openssh-server.postinst configure

Danach ausloggen, den alten Key aus der ~/.ssh/know_hosts löschen und neu verbinden. Fertig.

  1. 13. Mai 2008, 20:44 | #1

    Hmm, ja der Bug ist schön. Dennoch:
    1. *nie* apt-get -y upgrade benutzen, lieber einmal Enter mehr drücken als nachher was unsauber zu haben.
    2. warum /var/lib/dpkg/info/openssh-server.postinst configure? dpkg-reconfigure openssh-server existiert.
    3. man sollte seine keys in ~/.ssh/ nicht vergessen
    4. auch alle SSL Certs (auch die für die man nur das CSR erstellt hat – wie meine bei CaCert) und OpenVPN Zertfikiate sind betroffen ;)

    Gruß
    Evgeni

  2. Holger
    14. Mai 2008, 20:29 | #2

    Zitat: “Note that you will have to use aptitude dist-upgrade (or apt-get dist-upgrade) to install these packages rather than just upgrade because this update will cause the new package openssh-blacklist to be installed.”

  3. Jonathan
    15. Mai 2008, 15:44 | #3

    heute ist bei den Updates ein openssh-server (4.3p2-9etch1) dabei, der automatisch die Host-Keys testet und ggfs. austauscht.

  4. 21. Mai 2008, 08:27 | #4

    Und nicht zu vergessen: DSA Keys sind nun böse!
    http://www.fooishbar.org/blog/tech/fdo/dsaKeys-2008-05-17-03-16.html

Kommentare sind geschlossen