[Global-announce] Wichtige Informationen zu sicherheitsrelevanten Themen (Verwundbarkeit von SSL und SSH)

Michael Hierweck michael.hierweck at hostsharing.net
Fri May 23 23:10:42 CEST 2008 

Liebe Hostsharing-Mitglieder und -Nutzer,

wie vermutlich vielen bereits bekannt ist, sind Debian-basierende
Computersysteme von einer Schwachstelle bei der Verschlüsselung von
OpenSSL- oder OpenSSH-Verbindungen betroffen. [1] [2] Das Debian Projekt
hat nach dem Bekanntwerden neue Softwarepakete bereitgestellt, die die
Sicherheitslücke schließen. Diese Softwarepakete wurden durch
unsere Hostmaster unverzüglich akualisiert.

Unglücklicherweise genügt dies zur Wiederherstellung der Sicherheit
unserer Server nicht. Aufgrund einer Schwachstelle im Zufallszahlen-
generator haben die betroffenen Softwarepakete unsichere -
weil vorhersagbare - Schlüssel und Zertifikate erzeugt. [3] [4]

Die Hostmaster haben daher alle RSA-Hostkeys für SSH erneuert,
ungeachtet dessen, ob diese mutmaßlich betroffen waren oder nicht.
Gleichzeitig sind die DSA-Hostkeys ersatzlos entfallen.

Da ferner auch alle SSL-Zertifikate für SSL-verschlüsselte Verbindungen
ersetzt werden mussten, haben wir nun ein offizielles, von einer CA
unterzeichnetes Wildcard-Zertifikat beschafft und auf unseren Servern
installiert. Dieses Zertifikat sollte von allen gängigen Webbrowsern,
Mail- und FTP-Clients unmittelbar akzeptiert werden. Probleme mit diesem
Zertifikat bitten wir unverzüglich an die unten genannten Kontakt-
adressen bekanntzugeben.


==========================================================================

	WICHTIG: Maßnahmen durch die Hostsharing-Benutzer

==========================================================================

Alle Betreiber von eigenen Debian- oder Debian-basierenden Systemen,
z.B. (K)Ubuntu, sollten ebenfalls unverzüglich ihre Systeme prüfen,
aktualisieren und SSH-Keys sowie SSL-Zertifikate erneuern. [5]

Alle Hostsharing-Nutzer sollten unverzüglich ihre Kennwörter und -
sofern verwendet - SSH-Keys erneuern. Hostsharing-Nutzer, welche SSL-
verschlüsselte https-Verbindungen anbieten (Hostsharing-Optionen "https"
oder "eigene httpd.conf") sollten prüfen, ob ihr Zertifikat mit einer
schwachen OpenSSL-Version erzeugt wurde und dieses ggf. austauschen.

Als unsicher bekannte SSH-Keys in den ~/.ssh/authorized_keys-Dateien von
Hostsharing-Nutzern werden von unseren SSH-Servern seit einiger Zeit
nicht mehr zur Authentifizierung beim Login akzeptiert.

Wir bitten ferner zu beachten, dass automatisierte Prozesse (z.B.
Cronjobs, die ssh oder rsync über ssh verwenden) über SSH durch den
Wechsel der SSH-Hostkeys beeinträchtigt werden. Im Regelfall müssen die
neuen SSH-Hostkeys zunächst per manueller Eingabe akzeptiert werden.

Die neuen RSA-Hostkeys sind auf unserer Website verzeichnet:
https://www.hostsharing.net/dokumentation/einstieg-bei-hostsharing/der-erste-login-mit-ssh.html

==========================================================================


Mit diesen Maßnahmen haben wir alle aus unserer Sicht sinnvollen und
unmittelbar möglichen Schritte zur Wiederherstellung der Sicherheit
unternommen. Als Restrisiko bleibt, dass potentiellen Angreifern die
Sicherheitslücken bereits bekannt waren und unsere Systeme vor oder
unmittelbar nach Bekanntwerden kompromittiert wurden. Diesem zu Begegnen
würde eine Neuinstallation aller Systeme inkl. der entsprechenden
Ausfallzeiten erfordern, was - insbesondere ohne konkrete Hinweise auf
eine Kompromittierung - nicht praktikabel ist.

Kontaktadressen für Rückfragen:

Öffentliche Supportanfragen, kostenfrei:
	support at hostsharing.net

Nichtöffentliche Supportanfragen,
wenn nicht aus Datenschutzgründen u.U. kostenpflichtig:
	service at hostsharing.net

Technische Diskussion:
	technik at hostsharing.net

[1] http://www.debian.org/security/2008/dsa-1571
[2] http://www.debian.org/security/2008/dsa-1576
[3] http://www.heise.de/newsticker/meldung/107808/
[4] http://www.heise.de/newsticker/meldung/107921/
[5] http://www.heise.de/security/artikel/108001

Alles Gute im Namen der Hostmaster wünscht

	Michael Hierweck

-- 
Hostsharing eG | Glockengießerwall 17 | D-20095 Hamburg
Registergericht Hamburg, GnR 1007 | USt.-ID-Nr.: DE218602793
vertretungsber. Vorstand: Uwe Müller, Peter Niederlag, Michael Hönnig
phone+fax: +49 700 HOSTSHARING (= +49 700 46787427)

More information about the Global-announce mailing list