[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Schwache SSH-Keys und authorized_keys
[Thread Prev] | [Thread Next]
- Subject: Schwache SSH-Keys und authorized_keys
- From: Raphael Becker <rabe@xxxxxxxxx>
- Date: Thu, 15 May 2008 17:34:54 +0200
- To: uugrn@xxxxxxxxxxxxxxx
Hallo zusammen, vermutlich hat sich inzwischen rumgesprochen, dass da draussen WideOpenSSH-Implementierungen im Einsatz sind. Da das Problem nicht durch ein Update der eigenen Software zu beheben ist, sondern potenziell bekannte Private Keys verwendet werden, muss man den Einsatz dieser (verwundbaren) Schluessel unterbinden. Konkret bedeutet das bei UUGRN, dass ich auf unseren Systemen alls (58) gefundenen authorized_keys-Dateien gecheckt habe und, sofern schwache Schluessel erkannt wurden, diese Dateien insgesamt umbenannt habe, sodass fuer die betroffenen User kein passwortloses Login moeglich ist. (Ja, es gibt mehr als einen betroffenen User!) Wer automatisiert SSH-Logins auf ein UUGRN-System durchfuehrt und annehmen muss, dass in seinem authorized_keys File auch "betroffene" Public-Keys abgelegt sein koennten, sollte dies ueberpruefen und ggf reparieren. Gruss Raphael -- Raphael Becker <rabe@xxxxxxxxx> http://rabe.uugrn.org/ GnuPG: E7B2 1D66 3AF2 EDC7 9828 6D7A 9CDA 3E7B 10CA 9F2D .........|.........|.........|.........|.........|.........|.........|.. -- http://mailman.uugrn.org/mailman/listinfo/uugrn Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste Archiv: http://lists.uugrn.org/