Wer es noch nicht mitgekriegt hat: 2006 wurde in Debian ein Patch aufgenommen, der die Schlüsselzahl auf 32k beschränkt, da nur eine einzige „Zufallsvariable“ im Seed verwendet wird. Die Prozess-ID des Keygen-Prozesses.
Wenn man ssh benutzt und ab September 2006 neu installiert oder neue Keys generiert hat, sollte man dringend neue Host-Keys generieren, da man sonst per Public-Key-Auth auf den Rechner einbrechen kann.
Wer jetzt denkt, mit Ubuntu wäre alles super: Nix ist. Fast alles was auf Debian basiert ist angreifbar. Ubuntu, Knoppix, Maemo, etc.
Was hilft? Hoffen, dass die aktualisierten Pakete es schon ins Repository geschafft haben und dann:
# apt-get update && apt-get dist-upgrade
# ssh-keygen -t dsa -f /etc/ssh/ssh_host_dsa_key -N „“
# ssh-keygen -t rsa -f /etc/ssh/ssh_host_rsa_key -N „“
# /etc/init.d/ssh restart
Damit sollte zumindest SSH wieder OK sein. Man darf aber nicht vergessen, dass es auch noch einige andere Tools gibt, die mit SSL arbeiten. Apache zum beispiel sollte man mit neuen Keys für HTTPS versehen.
Puh, auf meinem Router (‚buntu) läuft eh das Experiment des „automatischen Updates“. Letztens verwirrte mich beim Verbinden via SSH die Meldung, der Key hätte sich geändert (automatisch!).
Kann das noch jemand vermelden oder bin ich tatsächlich schlafge
wandeltnerdet?