Die OpenSSL-Schwachstelle in Debian Etch, Ubuntu von Feisty bis Gutsy und alle anderen Derivaten kann man getrost als GAU bezeichnen, denn die Konsequenzen können dramatisch sein. Leute die öfters mit Verschlüsselung zu tun haben wird der Satz

It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch

alarmierend genug sein. Ubuntu ist da deutlicher:

This includes the automatically generated host keys used by OpenSSH, which are the basis for its server spoofing and man-in-the-middle protection.

Genau, eigentlich jeder mit einen Server auf dem eines der obigen Betriebs-Systemen läuft ist damit direkt von dieser Sicherheitslücke betroffen. Um, zum Beispiel auf einen Root-Server, bei Debian Etch neue Keys zu erzeugen sollte man zur Sicherheit eine zweite SSH-Session aufmachen, dann die alten Keys löschen und neue erzeugen:

 # apt-get update && apt-get -y upgrade
# cd /etc/ssh
# rm ssh_host_*
# /var/lib/dpkg/info/openssh-server.postinst configure

Danach ausloggen, den alten Key aus der ~/.ssh/know_hosts löschen und neu verbinden. Fertig.

Posted: Mai 13th, 2008 under Debian, Linux, Sicherheit, Ubuntu.
Comments: 8

• 9 Improvements Needed in GNOME - 10tens: Kompletter Neuanfang *stänker*
• Warum Du kein Informatiker sein willst… - Njoar
• streaming from your fileserver using mpd and icecast - Das wollte ich schon immer mal machen
• Automated WordPress Hacking Tool Cached by Google - Du hast ein Unterverzeichnis namens wp-content/1 ? 0w3n3d! (Danke an Kiesow für die Panikmache)

Posted: März 28th, 2008 under Allgemein.
Comments: 4

Der Guardian-Kolumnist Andrew Brown schlägt vor den älteren Semenstern anstatt eines neues PC mit Vista einen älteren mit Xubuntu hinzustellen, wenn sie ins Internet möchten. Highlight:

Linux has been pretty secure against hackers for years now. The trouble is that until recently it was just as secure against normal users

Posted: April 13th, 2007 under Linux, Netz, Ubuntu, Web.
Comments: 2

In der unendlichen Reihe der Wordpress Sicherheitslücken gibt es neues. Diesmal sind alle aktuellen Versionen betroffen und (wie immer) gibt es erst die Warnung und dann irgendwann die Patche.

Update: Oha

Posted: Februar 27th, 2007 under Wordpress.
Comments: 10