[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: Schwache SSH-Keys und authorized_keys

Subject: Re: Schwache SSH-Keys und authorized_keys
From: Markus Hochholdinger <Markus@xxxxxxxxxxxxxxxxx>
Date: Thu, 15 May 2008 20:56:45 +0200
To: uugrn@xxxxxxxxxxxxxxx

Hi,

Am Donnerstag, 15. Mai 2008 19:51 schrieb Timo Zimmermann:
> Raphael Becker schrieb:
> | Wer automatisiert SSH-Logins auf ein UUGRN-System durchfuehrt und
> | annehmen muss, dass in seinem authorized_keys File auch "betroffene"
> | Public-Keys abgelegt sein koennten, sollte dies ueberpruefen und ggf
> | reparieren.
> Kleine Randnotiz:
> man sollte sich ebenfalls ueberlegen Passwoerter die darueber uebertragen
> wurden zu erneuern.

ganz paranoid muesste man jeden Server der solche schwachen Schluessel aktiv 
hat(te) als kompromitiert ansehen als auch jeden Server der mit solchen 
kompromitierten Servern ueber schwache Schluessel wichtige Informationen 
Uebertragen hat (wie z.B. Passwoerter).

Ich denke aber kaum dass jetzt jeder hergeht und einen vollen Security Audit 
ueber alle seine Server loslaesst.

Eigentlich bleibt nur zu hoffen das es bis jetzt keinen (unbekannten) Exploit 
gibt. Und wie es ausschaut wird es nichtmehr lange dauern bis Exploits 
oeffentlich verfuegbar sind!


PS: Die letzten zwei Tage waren sehr anstrengend und seit gestern Abend haben 
alle von mir betreuten Server keine schwachen Schluessel mehr als auch keine 
schwachen Schluessel in irgendwelchen authorized_keys. Gut dass es Raphael 
hier angesprochen hat, dieses Problem betrifft alle Server, nicht nur Debian 
Server! Da Schluessel von Debian Server auf andere kopiert worden sein 
konnten.

PPS: In 20 Minuten kann man anhand eines schwachen public keys schon den 
private key ermitteln: 
http://www.securityfocus.com/archive/1/492112/30/0/threaded


-- 
Gruss
                                                          \|/
       eMHa                                              (o o)
------------------------------------------------------oOO--U--OOo--
 Markus Hochholdinger
 e-mail  mailto:Markus@xxxxxxxxxxxxxxxxx             .oooO
 www     http://www.hochholdinger.net                (   )   Oooo.
------------------------------------------------------\ (----(   )-
                                                       \_)    ) /
                                                             (_/



-- 
http://mailman.uugrn.org/mailman/listinfo/uugrn
Wiki: http://wiki.uugrn.org/wiki/UUGRN:Mailingliste
Archiv: http://lists.uugrn.org/