[Technik] [SECURITY] [DSA 1576-1] New openssh packages fix predictable randomness
Paul Hink
email at p-hink.de
Fri May 16 20:03:00 CEST 2008
Peter Koellner <peter at asgalon.net> wrote:
> On Fri, 16 May 2008, Paul Hink wrote:
> > In beiden Fällen sehe ich nicht, warum ein neues Passwort dadurch
> > kompromittiert werden sollte, dass man sich zum Setzen des
> > Passworts mit Hilfe des alten Passworts einloggt. In anderen als
> > den beiden o.g. Fällen sehe ich nicht, wie eine Passwortänderung -
> > egal ob durch den User selbst oder durch root - etwas daran ändern
> > sollte, dass ein Account kompromittiert ist.
>
> Nun, wenn das alte Passwort öffentlich ist, ist alles öffentlich, was
> ich mit einer dadurch gesicherten Verbindung mache, oder?
Nein. Die Verschlüsselung einer ssh-Verbindung basiert nicht auf dem
Login-Passwort des Users.
> Also auch das Ändern des Passworts. Das ist zwar nun nicht die
> wahrscheinlichste aller Möglichkeiten, aber entweder man nimmt die
> Sicherheit ernst oder nicht. Wenn Angreifer praktisch zwei Jahre lang
> Zeit hatten, sich einzurichten, stehen doch alle mit
> heruntergelassenen Hosen da, um das mal etwas drastisch zu sagen.
> Wenn ich nicht weiss, ob ich dem "passwd" noch trauen kann, bleibt
> eigentlich nur die komplette Neuinstallation.
Wenn du von einer Systemkompromittierung ausgehst: korrekt. Aber in dem
Fall hilft auch kein neues von root gesetztes Passwort. Das ist ja
gerade der Punkt meines zweiten oben zitierten Satzes. Also: Wo soll
der Vorteil eines durch root neu gesetzten Passworts gegenüber einem
durch den User neu gesetzten Passwort liegen?
Und es ist in der Praxis schlicht und ergreifend unmöglich, weltweit
alle Systeme, auf denen einen unsicherer SSH-Server (nur um mal ein
Beispiel zu nennen) lief, komplett von Grund auf neu zu installieren
und zu konfigurieren. Auch wenn es eigentlich wünschenswert wäre - da
stimme ich dir voll zu.
> [...]
> Besser jetzt ein bisschen überreagieren als in einem halben Jahr
> massive Unterwanderungen feststellen zu muessen.
Was für Maßnahmen schlägst du konkret für Hostsharing vor?
Paul
More information about the Technik
mailing list