Schwerwiegende Lücke bei Debian

toby

http://www.pro-linux.de/news/2008/12676.html

Prinzipiell können alle in den letzten 2 Jahren mit openssl erstellten Keys korrupt, also erratbar sein. Das betrifft SSH-Pupkeys, OpenVPN-Keys, Apache-Keys, etc.
Die Lücke muss so drastisch sein, das dadurch z.B. das Pupkey-Verfahren bei SSH vollkommen unsicher wird, da man durch Brutforce den Schlüssel relativ leicht erraten kann!

AtlanVIII

jo hab ich schon gelesen und updates gefahren hoffe das is jetzt auch wirklich wieder sicher

echt schlimm sowas

toby

Nope, da du potentiell alle in den letzten zwei Jahren erstellte Keys ersetzen musst! Da ist es mit Updates allein nicht getan!
Guck dir auch ssh-vulnkey an (und entsprechend andere Tools).
Deswegen ist die Lücke ja so schwerwiegend, die Keys sind überall verstreut. Du musst möglicherweise externe Mitarbeiter einbestellen um deren VPN-Keys zu ersetzen usw.

AtlanVIII

also die ssh keys hab ich natürlich ersetzt und sonst gibts bei uns keine

benutzen kein open vpn da die leute hier zu blöd sin vpn zu benutzen (die brauchen unbedingt den windows vpn client und der mag nunmal nur poptop )

toby

Na dann hast du ja Glück gehabt.
http://seclists.org/fulldisclosure/2008/May/0410.html
Ist schon der erste Exploit unterwegs. 20min reichen zum brechen.

toby

Gerade über meine LUG-Liste gekommen:

Zitat

> Wer also eine Key-Authentisierung aktiv hat und obendrein
> die Keys kürzlich mit Debian erzeugt hatte sollte diese
> Keys einmal erneuern (nachdem vorher natürlich das System
> aktualisiert wurde).
es ist noch perfider:
Private DSA keys, egal wann, egal ob mit oder ohne
Debian erzeugt, sind kompromittiert sobald die irgendwann
einmal mit dem kaputten Debian-OpenSSL/OpenSSH/OpenVPN
benutzt worden sind.
Das ist krass und beruht auf einen Schwachpunkt von DSA. Wenn
man sich also einmal mit einem tadellosen ssh-Client und
tadellosen ssh-DSA-key mit einem der kranken Debian-ssh-Server
verbunden hat ist der Key praktisch durch mitsniffen der
Verbindung errechenbar. Siehe z.B. hier:
http://blog.sesse.net/blog/tech/2008…some_maths.html
Das dürfte dann wohl bald zu neuen Spamwellen ausarten...

Alles anzeigen

toby

Bleibt also nichts anderes als ALLE DSA-Keys auszuwechseln... na das macht Spaß!

AtlanVIII

mal ne dumme frage heist als auf den servern die ssh keys wechseln und auf meinen clients hald die alten löschen und neu erstellen

was für keys soll ich damit sonst noch neu erstellen? hier wird kein pgp usw. verwendet also is das wohl eher unwichtig aber gibts sonst noch was worauf ich achten muss?

toby

Du musst jetzt alle DSA-Keys, egal wo erstellt, die jemals mit einem verwundbaren System benutzt wurden, austauschen, weil sie eben prinzipiell korrumpiert sein können.
Also auch alle Keys auf den Clients austauschen. Am besten einfach alles austauschen was irgendwie mit Key und SSL zu tun hat.

AtlanVIII

ok in dem fall beschränkt sichs hier gott sei dank wirklich nur auf ssh

haben hier nur http sites und kein pgp und poptop hat ja auch keine dsa keys

Jetzt mitmachen!