Bösartiger Sicherheits-Bug in Ubuntu, Debian und Co.

[PapaBaer]

Tach,

die meisten Server-Betreiber unter uns haben es sicher schon mitbekommen. Wie ich von Nephron und Heise erfahren habe, ist in Debian und allen darauf aufbauenden Distributionen (Ubuntu, Kubuntu, Knoppix, Adamantix, ...) eine wirklich böse Sicherheitslücke in der OpenSSL-Bibliothek aufgetreten. Da es meines Erachtens nach eines der derbsten Geschichten ist, die sich Linux in den letzten Jahren geleistet hat und darüber hinaus ernsthaft die Sicherheit von Systemen gefährdet ist, will ich noch einmal darauf hinweisen. Ausführliche Informationen über die Lücke bekommt ihr unter: http://www.heise.de/newsticker/Schwache ... ung/107808

Grundsätzlich müssen alle in den letzten Jahren unter diesen Systemen mit OpenSSL erzeugten Keys gegen neue getauscht werden. Updates stehen für die meisten Distributionen bereit. Ubuntu ersetzt bei einem Update nach einer Warnung bei früheren Installationen automatisch erzeugte Keys. Von Hand erzeugte Keys müsst ihr wohl selbst austauschen. Wie andere Distributionen reagieren, weiß ich nicht.

Um unter Debian und Co. z.B. ssh wieder sicher zu bekommen, könnt ihr wie folgt vorgehen:

1. Updaten:

Code: Alles auswählen

sudo -s
apt-get update
apt-get upgrade

2. alte Keys löschen:

Code: Alles auswählen

rm /etc/ssh/*key*

3. neue Keys erstellen:

Code: Alles auswählen

dpkg-reconfigure openssh-server

Änlich müsste ihr auch mit OpenVPN, Apache-Zertifikaten u.s.w. vorgehen, hab ich aber selbst noch nicht machen müssen. Auf GnuPG und GnuTLS basierende Zertifikate sind wohl von dem Fehler nicht betroffen.

Gruetzi

Stefan

[tox]

Meiner ansicht nach nicht gefährlicher als die letzten 20 oder 30 buffer-overflow-bugs in windows, die einem mutwilligen user die gesamte kontrolle über das system hätten verschaffen können und die mit windows update geordnet und ohne großes aufsehen behoben wurden.

Und dadurch, dass sie sich offenbar in schweigen hüllen, wie die vorhersagbaren zufallszahlen aussehen, gehe ich davon aus, dass es keine angriffe darauf geben wird. außerdem hat es ja offenbar zwei jahre gedauert, bis es einen patch gibt, also kann es so ernst nicht sein, wenn man a) sich solange zeit lässt mit nem patch lässt oder b) es erst nach 2 jahren merkt.

Mal davon abgesehen natürlich, dass ich mich frage, wie solch eine sicherheitsrelevante komponente wie ein kryptografischer zufallszahlengenerator nicht ausreichend getestet und möglicherweise sogar unter schlechten softwareretechnischen bedingungen entwickelt sein kann (was eigentlich das einzige ist, was eine fehlerhafte implementierung und das unzureichende testen erklären kann).

[se]

http://metasploit.com/users/hdm/tools/debian-openssl/

schon sehr gefährlich.
mein ssh-key, sowie die openvpn-keys müssten betroffen sein.

[Cyrus]

Ich hab meinen ssh-key zumindest auf den root-servern wo sie draufliegen mal durch frische 4096er-RSA-Keys ausgetauscht.
vpns müssten wir mal sehen, obwohl die dinger imo jetzt nicht so die sicherheitskritischen sachen darstellen.

[PapaBaer]

Update

hab heute mal wieder n Debian wegen dem Kram gepatcht. Die SSH-Schlüssel werden jetzt mit folgenden Befehlen automatisch ersetzt:

Code: Alles auswählen

sudo -s
apt-get update
apt-get dist-upgrade

macht die Sache einfacher.

Stefan

[se]

die user keys müsste man aber trotzdem noch selber neu generieren.

[3dfxatwork]

Und mein blöder Speedport sagt immer das die Entropie auf dem System nicht groß genug sei ^^

Hehe zum Glück habe ich überall Suse, bzw selbstkompilierte sachen ^^

[PapaBaer]

zum Glück habe ich überall Suse

SuSE? Glück?

Sorry, aber das trollen kann ich mir an dieser Stelle nicht verkneifen

Stefan

[tuxmos]

hm! Wo sind die Zeiten hin, als es nur um Linux und Windows ging. Ok, scheinbar gelärt. Brauchen wir jetzt ein neues Feindbild? Debian, Slackware, Suse! Sind wir nicht alle ein bisschen Linux?

[3dfxatwork]

Warum Suse, na die haben viel mit Novell am Hut, und wie jeder weiß haben Novell und Microsoft eine Partnerschaft, also ist Suse fast wie Windows ^^, und das ist schön ^^

[Cyrus]

da stellt sich mir die frage: wenn ich es schön finden würde, dass meine linux distro so wäre wie windows, wieso benutz ich dann linux statt windows?

[Gordon]

Um zu sagen, dass man Linux hat?
Oder doch, um eventuelle Kenntnisse möglichst in einer gewohnten Umgebung zu erlernen...

[mono]

Ich benutze seit kurzem "Sios" weil mir Linux viel zu trendy geworden ist.

[tmk]

ein "Serielles Input/Output System"? *prust* ;^)

[tox]

tja ich sags ja nich gern, aber das ist mit nem windowsprogramm geschrieben worden

[tmk]

du holst dir aber auch bei jeder gelegenheit einen auf windows runter, oder?
und, ist es seit vista noch gefühlsechter und geiler geworden? zumindest scheinst du uns damit ja permanent zuspritzen zu wollen...
zum glück können die meisten es objektiv betrachten, wann sie welches system nutzen wollen, und wie sagte mono so treffend? "linux, osx oder windows - sind wir mal ehrlich, die sind alle scheiße!"
mich kannste - will ich doch nur sagen - damit jedenfalls weder kaschen noch beeindrucken.

[tox]

ich glaube, du vergreifst dich im ton. meine bemerkung war nicht mehr oder minder informativ oder ironisch gemeint wie die davor (unter anderem deiner). das ist das einzige, was ich dazu sage, jeder weitere ot-beitrag wird kommentarlos gelöscht.

edit: boah, also wird man jetzt auch schon degradiert, wenn man sich missfallend auf sonen beitrag äußert? respekt, freifunk!

[se]

das geht auf meine kappe. zur begründung: die welt ist nicht groß genug für zu viele sheriffs und hilfssheriffs. danke für die unterstützung während deiner zeit als admin und moderator. ich denke mal ich krieg das auch alleine hin. wenn mir der job über den kopf wächst, melde ich mich nochmal.

[tuxmos]

du holst dir aber auch bei jeder gelegenheit einen auf windows runter, oder?
und, ist es seit vista noch gefühlsechter und geiler geworden? zumindest scheinst du uns damit ja permanent zuspritzen zu wollen...
zum glück können die meisten es objektiv betrachten, wann sie welches system nutzen wollen, und wie sagte mono so treffend? "linux, osx oder windows - sind wir mal ehrlich, die sind alle scheiße!"
mich kannste - will ich doch nur sagen - damit jedenfalls weder kaschen noch beeindrucken.

[tuxmos]

Ich benutze seit kurzem "Sios" weil mir Linux viel zu trendy geworden ist.

Hast Du noch Robotron Technik???
René

[PapaBaer]

Werte Damen und Herren, die Außentemperatur beträgt 23Grad Celsius, wir haben nun unser Heise-Forum-Niveau erreicht...

[Cyrus]

<°)))o><

EOT