OpenSSH/SSL unter Debian/Ubuntu angreifbar

Wer es noch nicht mitgekriegt hat: 2006 wurde in Debian ein Patch aufgenommen, der die Schlüsselzahl auf 32k beschränkt, da nur eine einzige „Zufallsvariable“ im Seed verwendet wird. Die Prozess-ID des Keygen-Prozesses.

Wenn man ssh benutzt und ab September 2006 neu installiert oder neue Keys generiert hat, sollte man dringend neue Host-Keys generieren, da man sonst per Public-Key-Auth auf den Rechner einbrechen kann.

Debian Sicherheitsmeldung

Exploit

Wer jetzt denkt, mit Ubuntu wäre alles super: Nix ist. Fast alles was auf Debian basiert ist angreifbar. Ubuntu, Knoppix, Maemo, etc.

Was hilft? Hoffen, dass die aktualisierten Pakete es schon ins Repository geschafft haben und dann:

# apt-get update && apt-get dist-upgrade
# ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N „“
# ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N „“
# /etc/init.d/ssh restart

Damit sollte zumindest SSH wieder OK sein. Man darf aber nicht vergessen, dass es auch noch einige andere Tools gibt, die mit SSL arbeiten. Apache zum beispiel sollte man mit neuen Keys für HTTPS versehen.

Bild cc by-nc-nd von seaworthy

1 Anmerkung zu “OpenSSH/SSL unter Debian/Ubuntu angreifbar

  1. Velox

    Puh, auf meinem Router (‚buntu) läuft eh das Experiment des „automatischen Updates“. Letztens verwirrte mich beim Verbinden via SSH die Meldung, der Key hätte sich geändert (automatisch!).

    Kann das noch jemand vermelden oder bin ich tatsächlich schlafgewandeltnerdet?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert