[Technik] [SECURITY] [DSA 1571-1] New openssl packages fix predictable random number generator
Paul Hink
email at p-hink.de
Thu May 15 15:12:40 CEST 2008
Paul Hink <email at p-hink.de> wrote:
Ich ergänze mal selbst:
> Was müssen wir alles prüfen/änedern? Mir fallen ein:
>
> - SSL-Keys
> - CA -> entsprechender Hinweis über global-announce@
> - *.hostsharing.net (HTTPS auf den Hives) -> global-announce@
> - h##.hostsharing.net (SMTP, POP3, IMAP, FTP, stunnel, PostgreSQL)
> -> global-announce@
> - smtpout.hostsharing.net (SMTP auf yuma)
> - Syslog-stunnel-Zertifikate (alle Systeme)
- Keys von Paketen mit https/httpd-Option -> dringender Hinweis
über global-announce@ mit der Bitte um Austausch
> - SSH-Keys
> - Hostkeys (alle Systeme) -> global-announce@ wegen der Hive-sshds
> - root-Keys (~root/.ssh/id_[rd]sa, alle Systeme, auch bei den
> Zielaccounts in ~/.ssh/authorized_keys)
> - User-Keys anderer System/hsh##-Accounts (dito)
> - authorized_keys der Hostmaster-/Maintainer-Accounts (alle Systeme,
> müssen die jeweiligen User selbst machen)
> - authorized_keys und id_[rd]sa der Paketuser -> dringender Hinweis
> über global-announce@ mit der Bitte um Austausch
> - Wenigstens in den Hive-sshds (auf Port 22) müssen wir wohl für eine
> Übergangszeit PermitBlacklistedKeys=yes setzen. Aber am besten nur
> in diesen sshds und direkt mit angekündigtem Abschaltzeitpunkt.
>
> Ergänzungen/Korrekturen?
Paul
More information about the Technik
mailing list