OpenSSH/SSL unter Debian/Ubuntu angreifbar

Wer es noch nicht mitgekriegt hat: 2006 wurde in Debian ein Patch aufgenommen, der die Schlüsselzahl auf 32k beschränkt, da nur eine einzige „Zufallsvariable“ im Seed verwendet wird. Die Prozess-ID des Keygen-Prozesses.

Wenn man ssh benutzt und ab September 2006 neu installiert oder neue Keys generiert hat, sollte man dringend neue Host-Keys generieren, da man sonst per Public-Key-Auth auf den Rechner einbrechen kann.

Debian Sicherheitsmeldung

Exploit

Wer jetzt denkt, mit Ubuntu wäre alles super: Nix ist. Fast alles was auf Debian basiert ist angreifbar. Ubuntu, Knoppix, Maemo, etc.

Was hilft? Hoffen, dass die aktualisierten Pakete es schon ins Repository geschafft haben und dann:

# apt-get update && apt-get dist-upgrade
# ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N „“
# ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N „“
# /etc/init.d/ssh restart

Damit sollte zumindest SSH wieder OK sein. Man darf aber nicht vergessen, dass es auch noch einige andere Tools gibt, die mit SSL arbeiten. Apache zum beispiel sollte man mit neuen Keys für HTTPS versehen.

Bild cc by-nc-nd von seaworthy

1 Antwort auf “OpenSSH/SSL unter Debian/Ubuntu angreifbar”


  1. 1 Velox 15. Mai 2008 um 08:53

    Puh, auf meinem Router (‚buntu) läuft eh das Experiment des „automatischen Updates“. Letztens verwirrte mich beim Verbinden via SSH die Meldung, der Key hätte sich geändert (automatisch!).

    Kann das noch jemand vermelden oder bin ich tatsächlich schlafgewandeltnerdet?

hinterlass 'ne Antwort




Die Nerdkolumne

Kreatives, Unkreatives, Lustiges, Unlustiges, Hilfreiches, und alles, was den Nerdkolumnisten sonst noch ins Netz geht.

Zeitspalten

Mai 2008
M D M D F S S
« Apr   Jun »
 1234
567891011
12131415161718
19202122232425
262728293031