Debian OpenSSL Schwachstelle – Nicht die SSH-Keys vergessen
13. Mai 2008 | 
Autor: Die OpenSSL-Schwachstelle in Debian Etch, Ubuntu von Feisty bis Gutsy und alle anderen Derivaten kann man getrost als GAU bezeichnen, denn die Konsequenzen können dramatisch sein. Leute die öfters mit Verschlüsselung zu tun haben wird der Satz
It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch
alarmierend genug sein. Ubuntu ist da deutlicher:
This includes the automatically generated host keys used by OpenSSH, which are the basis for its server spoofing and man-in-the-middle protection.
Genau, eigentlich jeder mit einen Server auf dem eines der obigen Betriebs-Systemen läuft ist damit direkt von dieser Sicherheitslücke betroffen. Um, zum Beispiel auf einen Root-Server, bei Debian Etch neue Keys zu erzeugen sollte man zur Sicherheit eine zweite SSH-Session aufmachen, dann die alten Keys löschen und neue erzeugen:
# apt-get update && apt-get -y upgrade # cd /etc/ssh # rm ssh_host_* # /var/lib/dpkg/info/openssh-server.postinst configure
Danach ausloggen, den alten Key aus der ~/.ssh/know_hosts löschen und neu verbinden. Fertig.
Schlagworte:
[...] die Debian Server betreiben sollten sich mal dringend das hier [...]
Hmm, ja der Bug ist schön. Dennoch:
1. *nie* apt-get -y upgrade benutzen, lieber einmal Enter mehr drücken als nachher was unsauber zu haben.
2. warum /var/lib/dpkg/info/openssh-server.postinst configure? dpkg-reconfigure openssh-server existiert.
3. man sollte seine keys in ~/.ssh/ nicht vergessen
4. auch alle SSL Certs (auch die für die man nur das CSR erstellt hat – wie meine bei CaCert) und OpenVPN Zertfikiate sind betroffen ;)
Gruß
Evgeni
Sicherheitslücke in Debian…
Wiedereinmal macht eine Sicherheitslücke Schlagzeilen (hier oder hier oder natürlich hier).
Diesmal ist OpenSSL in Debian betroffen, die mit den bisher ausgelieferten Versionen des Paketes seit 0.9.8c-1 generierten Schlüssel sind vorhersagbar.
Es …
Zitat: “Note that you will have to use aptitude dist-upgrade (or apt-get dist-upgrade) to install these packages rather than just upgrade because this update will cause the new package openssh-blacklist to be installed.”
heute ist bei den Updates ein openssh-server (4.3p2-9etch1) dabei, der automatisch die Host-Keys testet und ggfs. austauscht.
[...] Ein kleines Howto zum fixen der alten Keys findet man auch hier. [...]
Und nicht zu vergessen: DSA Keys sind nun böse!
http://www.fooishbar.org/blog/tech/fdo/dsaKeys-2008-05-17-03-16.html
[...] im besitz dieser unschönen schwachstelle ist, der sollte dringend diese Anweisung befolgen! Teile und genieße Diese Icons verzweigen auf soziale Netzwerke bei denen Nutzer neue Inhalte [...]