[Lintulan etusivu] -> [Tiedotteet]

Lintula

Tiedotteet

15.5.2008
Debian OpenSSL haavoittuvuus vaikuttaa myös Lintulan käyttäjiin

Timo Alatalo wrote on tut.lintula:
> Heikki Vatiainen wrote on tut.atk,tut.atk.tiedotukset:
>> CERT-FI: Korjaus saatavilla Debianin OpenSSL-pakettiin
>> http://www.cert.fi/haavoittuvuudet/2008/haavoittuvuus-2008-58.html
>>
>> CERT-FI:n tiedotteen otsikko viittaa edelleen vain Debianin
>> OpenSSL-pakettiin, mutta esimerkiksi heikot SSH-avaimet voivat
>> vaarantaa minkä tahansa SSH:n avainautentikaatiota tukevan
>> järjestelmän.
>>
>> Tämä on hyvä huomioida TTY:llä ja muualla, sillä mikä tahansa
>> järjestelmä altistuu haavoittuvuudelle siinä vaiheessa kun käyttäjä
>> kopioi sinne haavoittuneen SSH-avaimen.
>>
>> TTY:llä Lintula on jo alkanut toimenpiteisiin haavoittuneiden avaimien
>> kitkemiseksi.
> 
> Lintulassa on käyty käyttäjien authorized_keys* tiedostot läpi ja
> selkeästi haavoittuvaa avainta käyttäville käyttäjille on asiasta
> tiedotettu.
> 
>> Toivon, että TTY:n käyttäjät miettivät ovatko heidän avaimensa
>> turvallisia ja mikäli epäilystä on, luovat avaimensa uusiksi ehjää
>> OpenSSL:ää käyttäen. Vanha avain pitää myös muistaa poistaa.
> 
> Myös Lintulan ylläpito toistaa tämän toiveen. Tuo meidän aika kiireellä
> tekemä seulonta ei varmasti ole täydellinen ja pyydämmekin käyttäjiä
> vaihtamaan avainparinsa uuteen, mikäli on pienikin epäilys siitä, että
> avain saattaa olla haavoittuva.
> 
>> Valveutuneimmat ylläpitäjät kyllä ryhtyvät asiassa toimeen, mutta
>> käyttäjien on hyvä kantaa oma kortensa kekoon, jotta jokainen pieni
>> puljukin saadaan huomioitua.
>>
>> Avaimia tarkistettaessa on huomattava se, että myös systeemikäyttäjien
>> avaimet tarkistetaan. Esimerkiksi rootin tunnuksella hoidetaan usein
>> automaattitoimintoja avainautentikaation avulla. Tämä yhdistettynä
>> siihen, että rootin tunnus löytyy kaikista unix-tyyppisitä
>> järjestelmistä on selvä kohde brute force -hyökkäyksille.
> 
> Tässä yhteydessä muistutamme myös, että root-tunnuksella kirjautumista
> ei koskaan pitäisi sallia Internetistä.
> 
>> Tiedotteita haavoittuvuudesta
>> =============================
>> http://www.cert.fi/haavoittuvuudet/2008/haavoittuvuus-2008-58.html
>> http://www.debian.org/security/2008/dsa-1571
>> http://www.ubuntu.com/usn/usn-612-1
>>
>>
>> Lista avaimista
>> ===============
>> Lista avaimista on jo luotu ja julkaistu Internetissä. Näitä avaimia
>> tullaan erittäin todennäköisesti käyttämään lähitulevaisuudessa
>> tapahtuvissa ssh-hyökkäyksissä.
>>
>> http://metasploit.com/users/hdm/tools/debian-openssl/
> 
> Lintulan www-sivuilta osoitteesta
> http://www.cs.tut.fi/lintula/software/ssh/ löytyy ohjeita ssh:n ja
> avainautentikoinnin käyttöön.
15.05.2008