Mögliche Sicherheitslücke: Schwache ssh-Keys aufgrund voraussagbarem Zufallsgenerator in open-ssl
Thomas Schewe
thosch at gmx.net
Die Mai 13 23:07:59 BST 2008
Hallo,
ich wurde heute von den Administratoren meines ISP kontaktiert, weil ein
von mir dort hinterlegter ssh-Key als unsicher eingeschätzt wurde.
Aufgrund einer Schwäche des Zufallsgenerators in open-ssl sind die mit
Hilfe dieser Bibliothek erstellten ssh-Keys als verwundbar anzusehen
[1]. Laut Debian ist der Fehler seit dem 17.09.2006 in der Welt.
Im heutigen Update von Ubuntu war dann auch entsprechende Updates drin.
(Hinweis: Bei der interaktiven Nutzung von aptitude, muss das Update mit
"U" angestoßen werden.) Und zwar kamen über die Leitung:
1. open-ssl
2. libssl
3. openssh-client
4. openssh-server
5. openssh-blacklist
Die Pakete 3 bis 5 kommen scheinbar nur, wenn man security.ubuntu.com in
der sources.list eingebunden hat. Bei einer Konfiguration nur mit
de.archive.ubuntu.com (wie im uu-wiki dargestellt [2]) kamen diese
Pakete (noch?) nicht.
Beim Konfig von openssh-server werden die Host-Keys erneuert. Die
betroffenen User-Keys müssen wohl immer manuell ersetzt werden. Mit dem
Programm ssh-vulnkeys kann man betroffene ssh-Keys ermitteln.
Gruß
Thomas Schewe
[1] http://www.debian.org/security/2008/dsa-1571
[2] http://wiki.ubuntuusers.de/sources.list
--
Thomas Schewe
thosch at gmx.net aka thosch at nasobem.all.de
PGP-Fingerprint: 28CA 4499 8CE3 6B55 687E 6BB2 FC0F EACB 77DC FDC8
-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname : signature.asc
Dateityp : application/pgp-signature
Dateigröße : 250 bytes
Beschreibung: OpenPGP digital signature
URL : https://lists.ubuntu.com/archives/ubuntu-de/attachments/20080514/0e3c50f6/attachment.pgp