High-Quality GameServer: GameServer.org - have a nice play!
Kaminöfen von Novaline & Schwabenfeuer:KaminofenShop.com




 News



 Technik








 Ventrilo 3



 TeamSpeak 2



 TeamSpeak 3



 Gameserver








 FAQ



 Downloads



 Kundenlogin



 



 AGB



 Impressum





 Partner

»Gratis Clanforum



»Gratis Gästebuch
  Schwerwiegender Fehler in Debian's OpenSSL-Implementierung

[13.05.08] Alle seit 2006 auf einem Debian-System erzeugten SSL-Schlüssel sind schwach und einfach reproduzierbar. Betroffen sind alle Anwendungen, die auf SSL aufsetzen, u.a. auch OpenSSH und OpenVPN.

Nähere Details und eine kleine Anleitung, wie ein Debian-System zu reparieren ist:

Bereits im Jahr 2006 kommentierte ein etwas übereifriger Paket-Maintainer der Linux-Distribution Debian eine Zeile im OpenSSL-Sourcecode aus, da sie beim Compilieren unschöne Warnmeldungen verursachte.

Die Änderung stellte er auf einer öffentlichen Mailingliste zur Diskussion, aber leider erkannte niemand, wie Folgenschwer sie sein sollte.

Ein Bugfix wurde bereits veröffentlicht, er kann einfach per "apt-get" installiert werden. Es müssen jedoch auch alle Schlüssel neu generiert werden.

So könnt ihr euer Debian-System in Ordnung bringen:

1.) Das Update installieren.

# apt-get update && apt-get upgrade

2.) Es sollten alle Schlüssel von autorisierten Systemen gelöscht oder angepasst werden. Sie sind jeweils im in der Datei .ssh/authorized_keys abgelegt.

Nach der Datei "authorized_keys" suchen:

# find / -type f -name 'authorized_keys'

Mutige Zeitgenossen können die Datei suchen und sofort löschen lassen:

# find / -type f -name 'authorized_keys' | grep '\.ssh/authorized_keys' | xargs rm -v

3.) Nun sollte man noch die schon bekannten Hosts (.ssh/known_hosts) löschen (als Resultat darauf wird man beim Herstellen einer SSH-Verbindung wieder gefragt, ob der Schlüssel der Gegenstelle akzeptiert werden soll):

# find / -type f -name 'known_hosts' | grep '\.ssh/known_hosts' | xargs rm -v

4.) Die lokal vorhandenen SSL-Schlüssel löschen und neue generieren:

# rm /etc/ssh/ssh_host_* && dpkg-reconfigure openssh-server

Und hier noch das Ganze in Form eines kleinen Scripts:

#!/bin/bash
apt-get update && apt-get upgrade
[ $? -eq 0 ] || exit 1
rm /etc/ssh/ssh_host_*
find / -type f -name 'authorized_keys' | grep '\.ssh/authorized_keys' | xargs rm -v
find / -type f -name 'known_hosts' | grep '\.ssh/known_hosts' | xargs rm -v
dpkg-reconfigure openssh-server

Wie immer gilt: Kopf einschalten!

Es gibt Szenarien, in denen man z. B. die "authorized_keys" nicht löschen sollte, z. B. wenn darin "saubere" SSL-Schlüssel anderer Systeme abgelegt sind. Die beschriebene "Rasenmäher-Methode" sollte aber auf Standard-Debian-Systemen keine Probleme bereiten.

Mehr Details gibt's hier: wiki.debian.org/SSLkeys

 Dein Kommentar
Name 
eMail 
E-Mail 
Kommentar 
 

© 1998 Noxware. Urheberrecht: Siehe AGB