uppdatera openssl, generera om nycklar

[andol]

Rätt allvarlig brist i openssl som uppdagats.

https://lists.ubuntu.com/archives/ubunt ... 00705.html

I och med den berör skapandet utav nycklar/certifikat så räcker det inte att bara uppdaterat openssl. Det gäller även att generera om de befintliga nycklar/certifikat man har. Notera att openssl används rätt friskt utav andra program; till exempel openssh.

(Glöm nu inte bort /etc/ssh/ssh_host_*_key)

[andol]

Lite openssh-specifik information

https://lists.ubuntu.com/archives/ubunt ... 00706.html

(Jo, ubuntu-security-announce är en lista man vill prenumerera på.)

[Lars]

Uppdateringen innehåller också det nya kommandot ssh-vulnkey som kollar om ditt nyckelpar är säkert eller ej. Om du inte kan säkerställa att ditt nyckelpar är säkert så ska du skapa ett nytt.

[andol]

...och vill man kollar de nycklar man har liggande på ett icke-ubuntu system kan man plockar ner det här perlskriptet.

http://security.debian.org/project/extr ... owkd.pl.gz

[Emil.s]

Ah, äntligen en anledning till att fixa nya nycklar!

[andol]

Liksom en ursäkt att posta en xkcd :-)

[KiviE]

Liksom en ursäkt att posta en xkcd :-)

LOL

[andol]

Fick just följande informationen från en säkerhetslista jag sitter på.

Metasploit-projektet har nu färdiga arkiv för nedladdning med privata
och publika nycklar och utlovar "In the near future, this site will be
updated to include a brute force tool that can be used quickly gain
access to any SSH account that allows public key authentication using a
vulnerable key."

Det är alltså minst sagt hög tid att se över sina, och andras, ~/.ssh/authorized_keys

[andol]

Blivit en hel del rensande i ~/.ssh/known_hosts nu de senaste dagarna. Slutade med att jag hackade ihop ett perlskript som underlättar processen litegrann.

http://www.andreasolsson.se/2008/05/16/ ... own_hosts/

[Edberg]

Lyfter denna tråden då det nu finns en mask som verkar nyttja hålet och passar på och fråga hur man på enklast sätt genomför uppdateringen på tex ubuntu server 7.10 ?

Tack på förhand !

[andol]

Har du sen dess gjort en dist-upgrade så ska det räcka.

Kod: Markera allt

apt-get dist-upgrade

Då har du nämligen fått paket openssh-blacklist installerat. Det spärrar åtkomsten för dessa trasigt genererade nycklar.

(Sen så finns förstås fortfarande det potentiella problemet att du har trasigt generade nycklar, spridda på andra servrar.)

[Edberg]

jag vill helst inte uppgradera till 8.04 utan bara det som år nödvändigt.

[andol]

jag vill helst inte uppgradera till 8.04 utan bara det som år nödvändigt.

Givet att din /etc/apt/sources.list är orörd så innebär dist-upgrade inte en uppgradering till Hardy. Det dist-upgrade gör är att medge möjligheten att peta in nya paket som beroenden.

Fast visst, lätt att missförstå namnet :)

[Edberg]

Okej, men om man man nu bara vill uppdatera de berörda paketen med apt-get, vill inte råka förstöra något beroende eller så genom att riskera ny kernel eller likanande...

Jag har vmware server installerat bland annat och vill inte riskera något krångel.

[andol]

Tja, givet att du vill begränsa vad du uppdaterar kan det vara en idé att påbörja en dist-upgrade, men utan att fullfölja. apt-get dist-upgrade gör nämligen ingen utan att du svarar ja på bekräftelsefrågan. Svarar du istället nej så händer inget, men du har fått se vilka paket det finns uppdateringar för. Dessa kan du sen manuellt plocka hem via till exempel packages.ubuntu.com.

Det sagt så tycker jag faktiskt att du ska göra en full dist-upgrade. Generellt sett så är det oftast dåligt att inte vara fullt patchad. Däremot så kan det förstås vara klokt att först testa på ett mindre kritiskt system.

Jo, en dist-upgrade kan mycket väl slänga in en ny kärna. Fast att kompilera upp nya vmware-moduler är väl inte hela världen?

[Edberg]

Okej, tack för svaren på mina idiotfrågor :-)
Men jag har större vana av rpm hantering, gör en snapshot på n rreservserver och testar lite så får vi se hur det går.