1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
|
<define-tag description>forudsigelig generator af tilfældige tal</define-tag>
<define-tag moreinfo>
<p>Den nyligt annoncerede sårbarhed i Debians openssl-pakke
(<a href="/security/2008/dsa-1571">DSA-1571-1</a>,
<a href="https://security-tracker.debian.org/tracker/CVE-2008-0166">\
CVE-2008-0166</a>) påvirker indirekte OpenSSH. Som en følge deraf må alle
bruger- og værts-nøgler genereret ved hjælp af defekte versioner af
openssl-pakken betragtes som upålidelige, selv efter openssl-opdateringen er
foretaget.</p>
<p>1. Installér sikkerhedsopdateringer</p>
<p>Denne opdatering er afhænging af openssl-opdateringen og vil automatisk
installere en rettet version af pakken libssl0.9.8 og en ny pakke,
openssh-blacklist.</p>
<p>Når opdateringen er udført, vil svage brugernøgler automatisk blive
afvist hvor det er muligt (dog kan man ikke identificere dem i alle
situationer). Hvis du anvender sådanne nøgler til brugerautentificering,
vil de omgående holde op med at virke og skal udskiftes (se trin 3).</p>
<p>OpenSSH-værtsnøgler kan regenereres automatisk når
sikkerhedsopdateringen af OpenSSH udført. Opdateringen vil bede om en
bekræftelse, før dette trin udføres.</p>
<p>2. Opdatér OpenSSH's known_hosts-filer</p>
<p>Regenereringe af værtsnøgler vil forårsage at en advarsel vises, når
man forbinder sig til et system gennem SSH, indtil værtsnøglen er blevet
opdatering i filen known_hosts. Advarslen skulle se ud som følger:</p>
<pre>
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@ WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED! @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
</pre>
<p>I denne situtation er værtsnøglen blot blevet udskiftet, og du bør
opdatere de relevante known_hosts-filer, som angivet i fejlmeddelelsen.
Det anbefales at du anvender en pålidelig måde, at udskifte servernøglen
på. Den ligger i filen /etc/ssh/ssh_host_rsa_key.pub på serveren; det er
et fingeraftryk der kan udskrives med kommandoen:</p>
<p>ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub</p>
<p>Ud over brugerspecifikke known_hosts-filer, kan der også være en fil
med kendte værter gældende for hele systemet, /etc/ssh/ssh_known_hosts. Denne
fil anvendes både af ssh-klienten og af sshd i deres hosts.equiv-funktionalitet.
Også denne fil skal opdateres.</p>
<p>3. Kontrollér alle OpenSSH-brugernøgler</p>
<p>Den sikreste fremgangsmåde er at regenerere alle OpenSSH-brugernøgler,
bortset fra hvor der med stor sandsynlighed er tale om en fil, der blev
genereret på et upåvirket system.</p>
<p>Undersøg hvorvidt din nøgle er påvirket, ved at køre værktøjet
ssh-vulnkey, der er indeholdt i sikkerhedsopdateringen. Som standard vil
ssh-vulnkey kigge i standardplaceringer for brugernøgler (~/.ssh/id_rsa,
~/.ssh/id_dsa og ~/.ssh/identity), din authorized_keys-fil
(~/.ssh/authorized_keys og ~/.ssh/authorized_keys2) samt systemets
værtsnøgler (/etc/ssh/ssh_host_dsa_key og /etc/ssh/ssh_host_rsa_key).</p>
<p>For at kontrollére alle dine egne nøgler, forudsat at de befinder sig i
standardplaceringerne (~/.ssh/id_rsa, ~/.ssh/id_dsa, or ~/.ssh/identity):</p>
<p>ssh-vulnkey</p>
<p>For at kontrollere alle nøgler på dit system:</p>
<p>sudo ssh-vulnkey -a</p>
<p>For at kontrollere en nøgle i en ikke-standardplacering:</p>
<p>ssh-vulnkey /path/to/key</p>
<p>Hvis ssh-vulnkey siger "Unknown (no blacklist information)", så har det
ingen oplysninger om hvorvidt den pågældende nøgle er påvirket eller ej. I
denne situation kan du undersøge filens ændringstidspunkt (mtime) med
"ls -l". Nøgler genereret før september 2006 er ikke påvirket. Vær
opmærksom på, at selv om det er usandsynligt, kan
sikkerhedskopieringsprocedurer have ændret filens dato længere tilbage i
tiden (eller systemuret kan have været indstillet forkert).
Hvis du er i tvivl, så generér en ny nøgle og fjern den gamle fra alle
servere.</p>
<p>4. Regenerér alle påvirkede brugernøgler</p>
<p>OpenSSH-nøgler anvendt til brugerautentificering skal regenereres manuelt,
heriblandt også dem, der siden kan være blevet overført til andre systemer,
efter de er blevet genereret.</p>
<p>Nye nøgler kan genereres ved hjælp af ssh-keygen, fx:</p>
<pre>
$ ssh-keygen
Generating public/private rsa key pair.
Enter file in which to save the key (/home/user/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /home/user/.ssh/id_rsa.
Your public key has been saved in /home/user/.ssh/id_rsa.pub.
The key fingerprint is:
00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 user@host
</pre>
<p>5. Opdatér authorized_keys-filer (om nødvendigt)</p>
<p>Når dine brugernøgler er blevet regenereret, skal de relevante offentlige
nøgler overføres til alle authorized_keys-filer (og authorized_keys2-filer,
om nøvendigt) på fjerne systemer. Sørg for at slette linjerne indeholdende
gamle nøgler, fra disse filer.</p>
<p>Ud over forholdsreglerne over for tilfældighedssårbarheden, rettes der med
denne OpenSSH-opdatering også flere andre sårbarheder:</p>
<p><a href="https://security-tracker.debian.org/tracker/CVE-2008-1483">CVE-2008-1483</a>:
Timo Juhani Lindfors opdagede at, når man anvender X11-viderestilling,
vælger SSH-klienten en X11-viderestillingsport uden at sikre sig, at den kan
knyttes til alle adressefamilier. Hvis systemet er opsat med IPv6 (også selv
om det ikke har en fungerende IPv6-forbindelse), kunne dette gøre det muligt
for en lokal angriber på den fjerne server, at kapre X11-viderestillingen.</p>
<p><a href="https://security-tracker.debian.org/tracker/CVE-2007-4752">CVE-2007-4752</a>:
Jan Pechanec opdagede at ssh går tilbage til at oprette en betroet X11-cookie,
hvis oprettelsen af en ubetroet cookie går galt, potentielt gørende den lokale
skærm tilgængelig for en ondsindet fjern server, når X11-viderestilling
anvendes.</p>
<p>I den stabile distribution (etch), er disse problemer rettet i
version 4.3p2-9etch1. Pt. er kun en del af de understøttede arkitekturer
klar; efterfølgende opdateringer vil følge, når filerne er parate.</p>
<p>I den ustabile distribution (sid) og i distributionen testing (lenny), er
disse problemer rettet i version 4.7p1-9.</p>
<p>Vi anbefaler at du opgraderer dine openssh-pakker og tager de
forholdsregler, som er beskrevet herover.</p>
</define-tag>
# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1576.data"
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"
|