aboutsummaryrefslogtreecommitdiffstats
path: root/danish/security/2008/dsa-1576.wml
blob: 6bdaa19cc8644b0c31eb2f66070e8a39be598675 (plain) (blame) 
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147

<define-tag description>forudsigelig generator af tilfældige tal</define-tag>
<define-tag moreinfo>
<p>Den nyligt annoncerede sårbarhed i Debians openssl-pakke
(<a href="/security/2008/dsa-1571">DSA-1571-1</a>, 
<a href="https://security-tracker.debian.org/tracker/CVE-2008-0166">\
CVE-2008-0166</a>) påvirker indirekte OpenSSH.  Som en følge deraf må alle
bruger- og værts-nøgler genereret ved hjælp af defekte versioner af 
openssl-pakken betragtes som upålidelige, selv efter openssl-opdateringen er
foretaget.</p>

<p>1. Installér sikkerhedsopdateringer</p>

   <p>Denne opdatering er afhænging af openssl-opdateringen og vil automatisk
   installere en rettet version af pakken libssl0.9.8 og en ny pakke, 
   openssh-blacklist.</p>

   <p>Når opdateringen er udført, vil svage brugernøgler automatisk blive 
   afvist hvor det er muligt (dog kan man ikke identificere dem i alle 
   situationer).  Hvis du anvender sådanne nøgler til brugerautentificering,
   vil de omgående holde op med at virke og skal udskiftes (se trin 3).</p>

   <p>OpenSSH-værtsnøgler kan regenereres automatisk når 
   sikkerhedsopdateringen af OpenSSH udført.  Opdateringen vil bede om en 
   bekræftelse, før dette trin udføres.</p>

<p>2. Opdatér OpenSSH's known_hosts-filer</p>

   <p>Regenereringe af værtsnøgler vil forårsage at en advarsel vises, når 
   man forbinder sig til et system gennem SSH, indtil værtsnøglen er blevet 
   opdatering i filen known_hosts.  Advarslen skulle se ud som følger:</p>

<pre>
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
</pre>

   <p>I denne situtation er værtsnøglen blot blevet udskiftet, og du bør 
   opdatere de relevante known_hosts-filer, som angivet i fejlmeddelelsen.
   Det anbefales at du anvender en pålidelig måde, at udskifte servernøglen 
   på.  Den ligger i filen /etc/ssh/ssh_host_rsa_key.pub på serveren; det er 
   et fingeraftryk der kan udskrives med kommandoen:</p>

      <p>ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub</p>

   <p>Ud over brugerspecifikke known_hosts-filer, kan der også være en fil 
   med kendte værter gældende for hele systemet, /etc/ssh/ssh_known_hosts.  Denne 
   fil anvendes både af ssh-klienten og af sshd i deres hosts.equiv-funktionalitet.
   Også denne fil skal opdateres.</p>

<p>3. Kontrollér alle OpenSSH-brugernøgler</p>

   <p>Den sikreste fremgangsmåde er at regenerere alle OpenSSH-brugernøgler,
   bortset fra hvor der med stor sandsynlighed er tale om en fil, der blev 
   genereret på et upåvirket system.</p>

   <p>Undersøg hvorvidt din nøgle er påvirket, ved at køre værktøjet 
   ssh-vulnkey, der er indeholdt i sikkerhedsopdateringen.  Som standard vil 
   ssh-vulnkey kigge i standardplaceringer for brugernøgler (~/.ssh/id_rsa, 
   ~/.ssh/id_dsa og ~/.ssh/identity), din authorized_keys-fil 
   (~/.ssh/authorized_keys og ~/.ssh/authorized_keys2) samt systemets 
   værtsnøgler (/etc/ssh/ssh_host_dsa_key og /etc/ssh/ssh_host_rsa_key).</p>

   <p>For at kontrollére alle dine egne nøgler, forudsat at de befinder sig i
   standardplaceringerne (~/.ssh/id_rsa, ~/.ssh/id_dsa, or ~/.ssh/identity):</p>

     <p>ssh-vulnkey</p>

   <p>For at kontrollere alle nøgler på dit system:</p>

     <p>sudo ssh-vulnkey -a</p>

   <p>For at kontrollere en nøgle i en ikke-standardplacering:</p>

     <p>ssh-vulnkey /path/to/key</p>

   <p>Hvis ssh-vulnkey siger "Unknown (no blacklist information)", så har det  
   ingen oplysninger om hvorvidt den pågældende nøgle er påvirket eller ej.  I 
   denne situation kan du undersøge filens ændringstidspunkt (mtime) med 
   "ls -l".  Nøgler genereret før september 2006 er ikke påvirket.  Vær 
   opmærksom på, at selv om det er usandsynligt, kan 
   sikkerhedskopieringsprocedurer have ændret filens dato længere tilbage i 
   tiden (eller systemuret kan have været indstillet forkert). 
   Hvis du er i tvivl, så generér en ny nøgle og fjern den gamle fra alle 
   servere.</p>

<p>4. Regenerér alle påvirkede brugernøgler</p>

   <p>OpenSSH-nøgler anvendt til brugerautentificering skal regenereres manuelt,
   heriblandt også dem, der siden kan være blevet overført til andre systemer, 
   efter de er blevet genereret.</p>

   <p>Nye nøgler kan genereres ved hjælp af ssh-keygen, fx:</p>

<pre>
   $ ssh-keygen
   Generating public/private rsa key pair.
   Enter file in which to save the key (/home/user/.ssh/id_rsa):
   Enter passphrase (empty for no passphrase):
   Enter same passphrase again:
   Your identification has been saved in /home/user/.ssh/id_rsa.
   Your public key has been saved in /home/user/.ssh/id_rsa.pub.
   The key fingerprint is:
   00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 user@host
</pre>

<p>5. Opdatér authorized_keys-filer (om nødvendigt)</p>

   <p>Når dine brugernøgler er blevet regenereret, skal de relevante offentlige 
   nøgler overføres til alle authorized_keys-filer (og authorized_keys2-filer, 
   om nøvendigt) på fjerne systemer.  Sørg for at slette linjerne indeholdende
   gamle nøgler, fra disse filer.</p>


<p>Ud over forholdsreglerne over for tilfældighedssårbarheden, rettes der med 
denne OpenSSH-opdatering også flere andre sårbarheder:</p>

<p><a href="https://security-tracker.debian.org/tracker/CVE-2008-1483">CVE-2008-1483</a>:
   Timo Juhani Lindfors opdagede at, når man anvender X11-viderestilling, 
   vælger SSH-klienten en X11-viderestillingsport uden at sikre sig, at den kan 
   knyttes til alle adressefamilier.  Hvis systemet er opsat med IPv6 (også selv 
   om det ikke har en fungerende IPv6-forbindelse), kunne dette gøre det muligt 
   for en lokal angriber på den fjerne server, at kapre X11-viderestillingen.</p>

<p><a href="https://security-tracker.debian.org/tracker/CVE-2007-4752">CVE-2007-4752</a>:
   Jan Pechanec opdagede at ssh går tilbage til at oprette en betroet X11-cookie,
   hvis oprettelsen af en ubetroet cookie går galt, potentielt gørende den lokale
   skærm tilgængelig for en ondsindet fjern server, når X11-viderestilling 
   anvendes.</p>

<p>I den stabile distribution (etch), er disse problemer rettet i
version 4.3p2-9etch1.  Pt. er kun en del af de understøttede arkitekturer 
klar; efterfølgende opdateringer vil følge, når filerne er parate.</p>

<p>I den ustabile distribution (sid) og i distributionen testing (lenny), er 
disse problemer rettet i version 4.7p1-9.</p>

<p>Vi anbefaler at du opgraderer dine openssh-pakker og tager de 
forholdsregler, som er beskrevet herover.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1576.data"
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"

© 2014-2024 Faster IT GmbH | imprint | privacy policy