nachwehen des ssl bugs ...

[startx]

hallo.

entweder ich hab nen brett vor dem kopf oder irgendwas stimmt nicht.
der openssl bug in debian etch ist ja schon eine zeitlang vorbei, trotzdem hab ich hier noch ein altes (etch) system (das aber seit nem jahr oder so nicht mehr gebootet war. also gestartet, eingeloggt und ein apt-get update gemacht.

wie zu erwarten will er von security debian neue openssl, openssh-server etc pakete installieren (ist ja auch noetig)
das laeuft auch alles toll durch ... ich krieg auch eine warnung das die keys auf dem server vulnerable sind.

also mach ich:

Code: Alles auswählen

rm /etc/ssh/ssh_hist_*
dpkg-reconfigure openssh-server

zu meinem erstaunen kommt danch eine meldung dass die neuen keys auch wieder vulnerable sind, und

Code: Alles auswählen

ssh-vulnkey

betstaetigt das.
wieso frage ich mich, schliesslich ist dass das neueste openssl paket in stable?
irgendeine idee?

[Danielx]

zu meinem erstaunen kommt danch eine meldung dass die neuen keys auch wieder vulnerable sind, und

Code: Alles auswählen

ssh-vulnkey

betstaetigt das.

Hm, wie lautet die genau Meldung?
Sind auch wirklich neue Keys erzeugt worden?

Gruß,
Daniel

[startx]

Hm, wie lautet die genau Meldung?
Sind auch wirklich neue Keys erzeugt worden?

Die Meldung lautet

"COMPROMISED: .... {fingerprint}"

DIe alten keys sind von mir manuell geloescht worden und die fingerprints sind auch andere.

[Danielx]

Seltsam, was sagt denn:

Code: Alles auswählen

apt-cache policy libssl0.9.8 openssh-client openssh-server

Wird ein Key auch als "compromised" erkannt, wenn du ihn mit ssh-keygen erzeugst?

Gruß,
Daniel

[goecke]

...

Code: Alles auswählen

rm /etc/ssh/ssh_hist_*
dpkg-reconfigure openssh-server

ich sehe erstmal hier einen typo:

bist du sicher, daß du die die ssh - HOST keys gelöscht hast ( ssh_host_* )
gruß

[Danielx]

Die Meldung lautet

"COMPROMISED: .... {fingerprint}"

Wenn du "ssh-vulnkey -a" ausführst bekommst du ja in etwa so eine Ausgabe:

COMPROMISED: 2048 5c:10:8a:c0:55:8c:1f:d9:4b:05:f0:35:0a:0d:2f:5c /home/someuser/.ssh/authorized_keys

Mich würde jetzt auch noch interessieren, bei welcher Datei (hier fett gedruckt) das Programm "COMPROMISED" ausgibt.

Gruß,
Daniel

[startx]

ich sehe erstmal hier einen typo:

der typo war nur im forum, da kein copy and paste.
COMPROMISED sind sie keys in /etc/ssh

ssh_host_dsa_key und ssh_host_rsa_key

und ja, auch ssh-keygen ist davon betroffen.

openssl ist Version: 0.9.8c-4etch3

[Danielx]

Ok, aber die Ausgabe von:

Code: Alles auswählen

apt-cache policy libssl0.9.8

würde mich doch auch interessieren.

Wenn das "Installiert:0.9.8c-4etch3" ergibt, wird es spannend.

Gruß,
Daniel