[Technik] [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator
Paul Hink
email at p-hink.de
Thu May 15 14:37:48 CEST 2008
Noèl Köthe <noel at hostsharing.net> wrote:
> das Überprüfen der ganzen ssl keys ist noch offen, wird aber noch
> gemacht, aber bei der sehr großen Anzahl dauert das.
Was müssen wir alles prüfen/änedern? Mir fallen ein:
- SSL-Keys
- CA -> entsprechender Hinweis über global-announce@
- *.hostsharing.net (HTTPS auf den Hives) -> global-announce@
- h##.hostsharing.net (SMTP, POP3, IMAP, FTP, stunnel, PostgreSQL)
-> global-announce@
- smtpout.hostsharing.net (SMTP auf yuma)
- Syslog-stunnel-Zertifikate (alle Systeme)
- SSH-Keys
- Hostkeys (alle Systeme) -> global-announce@ wegen der Hive-sshds
- root-Keys (~root/.ssh/id_[rd]sa, alle Systeme, auch bei den
Zielaccounts in ~/.ssh/authorized_keys)
- User-Keys anderer System/hsh##-Accounts (dito)
- authorized_keys der Hostmaster-/Maintainer-Accounts (alle Systeme,
müssen die jeweiligen User selbst machen)
- authorized_keys und id_[rd]sa der Paketuser -> dringender Hinweis
über global-announce@ mit der Bitte um Austausch
- Wenigstens in den Hive-sshds (auf Port 22) müssen wir wohl für eine
Übergangszeit PermitBlacklistedKeys=yes setzen. Aber am besten nur
in diesen sshds und direkt mit angekündigtem Abschaltzeitpunkt.
Ergänzungen/Korrekturen?
Paul
More information about the Technik
mailing list