Freitag, 16. Mai 2008, 17:06
Nachtrag zur Sicherheitsmeldung
Hier ein Nachtrag zum Mailing von eben, so, wie wir es an unsere Kunden geschickt haben:
Lieber Herr Musterkunde,
einen Nachtrag zu unserer Sicherheitsmeldung von eben haben wir: Verwundbar sind AUCH Systeme, die Keys oder Zertifikate nutzen, die auf verwundbaren Systemen erzeugt wurden.
So könnte beispielsweise ein SSH-Key auf einem verwundbaren Debian-System erzeugt und auf ein Gentoo-System importiert worden sein, somit ist auch dieses Gentoo-System verwundbar.
Bitte prüfen Sie daher alle Ihre Keys und Zertifikate, z.B. mit Hilfe der Tools auf der nachfolgenden Seite:
http://wiki.debian.org/SSLkeys
Tauschen Sie bitte im Zweifelsfall die Keys aus oder deaktivieren
Sie sie bis zur vollständigen Klärung!
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt
Martin
Der kleine OpenSSL-Wegweiser (16.05.2008 16:39)
http://www.heise.de/security/Der-kleine-OpenSSL-Wegweiser--/artikel/108001
"Gefahren, Tools und Maßnahmen im Überblick
Im Gefolge der OpenSSL-Probleme bei Debian verbreitet sich bei Amdinistratoren zunehmend Chaos, Ratlosigkeit und sogar Panik. Lückenhafte und teilweise sogar falsche Informationen tragen genauso dazu bei, wie riskante Update-Prozeduren und mit der heißen Nadel gestrickte Tools, die zumindest missverständliche Ergebnisse liefern. heise Security versucht, einen Überblick zu geben und den aktuellen Stand zusammenzufassen. "
Jacky
gr4y
law
zu testen, und uns ist dabei aufgefallen, dass der SSH-Dienst auf
Ihrem Server mit der IP-Adresse
x
nach unserer Prüfung
U N S I C H E R
ist. Für potentielle Angreifer ist es so evtl. möglich, Ihren Server
"zu hacken".
In wiefern?
Manuel Schmitt (manitu)
law
Und die meisten Sorgen habe ich hier innerhalb des Rechnenzentrums. Und da hoffe ich doch mal, dass die hier nicht berechtigt sind...
Habe auf diversen Servern Benutzer die per FTP arbeiten. Das ist da doch um einiges schlimmer.