Debian & Ubuntu serverägare

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Debian & Ubuntu serverägare

Serverägare bör utan större dröjsmål uppdatera sin burkar.

sudo apt-get update && sudo apt-get upgrade

Säkerhetshål modell värre som förmodligen kommer att exploateras friskt
nu när hålet även är allmänt kännt.

Infocon Yellow

http://isc.sans.org/diary.html?storyid=4421

Info:

http://secunia.com/advisories/30220/

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

http://www.ubuntu.com/usn/usn-612-1

http://www.ubuntu.com/usn/usn-612-2

http://www.ubuntu.com/usn/usn-612-3

http://www.ubuntu.com/usn/usn-612-4

http://www.ubuntu.com/usn/usn-612-5

http://www.ubuntu.com/usn/usn-612-6

http://www.ubuntu.com/usn/usn-612-7

http://www.ubuntu.com/usn/usn-612-8

För klientburkar med en sshserver installerad ska då uppdateringssymbolen tändas.....

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
~
Registrerad
Apr 2003

Illa, tydligen var det en patch från Debian för redan 2 år sen som stängde av seedningen av slumptal, så jag antar att alla nycklar som skapats innan uppdateringen borde bytas ut med nya nycklar.

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Yup, kollade även Debians notis

"It is strongly recommended that all cryptographic key material which has
been generated by OpenSSL versions starting with 0.9.8c-1 on Debian
systems is recreated from scratch."

http://lists.debian.org/debian-security-announce/2008/msg0015...

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
Lund
Registrerad
Mar 2002

Vad jag kan se är inte Ubuntu 6.10 drabbat.
Stämmer det?

"Knowledge amplification. What he learns, we all learn. What he knows, we all benefit from."

Trädvy Permalänk
Medlem
Plats
~
Registrerad
Apr 2003
Citat:

Ursprungligen inskrivet av KentRoyal
Vad jag kan se är inte Ubuntu 6.10 drabbat.
Stämmer det?

Iso-filerna innehåller 0.9.8b-2 vilket är innan den dåliga patchen lades till, så det borde inte vara drabbat, så länge ingen uppdatering har innehållit en senare version.

http://old-releases.ubuntu.com/releases/6.10/ubuntu-6.10-alte...

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Okt 2005

Hur kan man se vilken OpenSSL version man har ?

Är lite skrajj för att uppdatera igen, samba flippade ju ur totalt vid förra ordentliga uppdateringen från 7.10 till 8.04. Får ta det imorn när jag vaknat, klarar inte av att gå och lägga mig med en server som krånglar.

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Du har fel version....

Men kör du 7.10 ska det finnas en uppdatering, bara att köra en sväng.

-------------------------------------------------------

Debians paket
http://packages.debian.org/search?keywords=openssl&searchon=a...

Ubuntus
http://packages.ubuntu.com/search?suite=default&section=all&a...

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Okt 2005

Så med andra ord måste jag göra en "sudo apt-get update && sudo apt-get upgrade" om jag kör 8.04 på servern?

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007
Citat:

Ursprungligen inskrivet av Benkaboy
Så med andra ord måste jag göra en "sudo apt-get update && sudo apt-get upgrade" om jag kör 8.04 på servern?

Ja alla serverversioner har uppdaterade paket, förutom de som kör tidigare än c-versionen.

Bara att uppdatera och byta nycklar.

Byta nycklar vete tusan hur man gör smartast, det finns en mapp /.ssh där de ligger

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Okt 2005

baah byta nyklar låter tråkigt.. skit oxå! ska man behöva trilskas med det här! men varför ska man byta nycklar i ssh? vilka nycklar? :S -_-

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Under /.ssh mappen ligger det en fil, known_hosts med nycklar

1:a gången man kopplar upp sig med ssh så fär man svara Yes/No

Kan vara dom man menar ? För trött för att kolla

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Okt 2005

Aha, det! *phew* bara att bort filerna alltså?

Stod det inte nåt om SSL oxå? nåt genererat av x509 bla bla etc? eller räcker det med en update och ta bort ssh nissarna?

Trädvy Permalänk
Medlem
Plats
Umeå
Registrerad
Nov 2004
Citat:

Ursprungligen inskrivet av plunn
Under /.ssh mappen ligger det en fil, known_hosts med nycklar

1:a gången man kopplar upp sig med ssh så fär man svara Yes/No

Kan vara dom man menar ? För trött för att kolla

known_hosts har ju bara med klienten att göra, nycklarna måste regeneras på servern (ssh-keygen -t <typ> ....), vilket lär göras automatiskt ifall de gamla nycklarna tagits bort (defaultar till /etc/ssh/ssh_host*key* i slackware, lär ju vara nåt liknande i debian).
sen får klienterna omvalidera nycklarna nästa gång man kopplar upp sig mot sshd'n

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Okt 2005

Ok, att "nollställa" ssh nycklarna verkar ju vara piece of a cake men när man har fixat sig ett ssl cerifikat med x509 som det står om i ubuntuartikeln, hur gör man då för att nollställa dem?

har använt denna kodslinga:

openssl req -new -x509 -days 365 -nodes -out /etc/proftpd/ssl/proftpd.cert.pem -keyout /etc/proftpd/ssl/proftpd.key.pem

Trädvy Permalänk
Medlem
Plats
~
Registrerad
Apr 2003

How to regenerate new SSH keys

Jag körde:

ssh-keygen -f /etc/ssh/ssh_host_rsa_key -N '' -t rsa ssh-keygen -f /etc/ssh/ssh_host_dsa_key -N '' -t dsa

på servern, sen raderade jag /home/användarnamn/.ssh/known_hosts på klientdatorn.
Sen får man frågan om man vill lägga till den nya nyckeln till known hosts nästa gång man kopplar upp klienten mot servern.

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Det kom en till notis lite senare angående OpenSSH

http://www.ubuntu.com/usn/usn-612-2

I den fixen så startar då Debconf under installtion och man rensar sina nycklar.

$ ssh-vulnkey
To check all keys on your system:

$ sudo ssh-vulnkey -a
To check a key in a non-standard location:

$ ssh-vulnkey /path/to/key
If ssh-vulnkey says "COMPROMISED", the key is vulnerable and should be replaced. If ssh-vulnkey says "Unknown (no blacklist information)", then it has no information about whether that key is affected because the key is of a type for which no blacklist is available. If in doubt, destroy the key and generate a new one.

Osv enligt säkerhetsnotisen.

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Okt 2005

Jag gjorde en sudo apt-get update && upgrade idag. Fick hem det som anges i artikeln. Gjorde kabinel beskrev och fick acceptera på nytt när jag reconnecta med ssh. Dock kommer jag inte in i min personliga mapp i /home, jag redirectas bara tillbaka.

sudo ssh-vulnkey fungerar inte för mig, command not found får jag som svar.

Åter SSL. Min proftpd har ju ett ssl certifikat man måste acceptera innan man använder den. Detta skapades innan detta hål upptäckts. Måste jag göra om SSL certifikatet på något sätt eller krypteringen för ftp'n över huvud taget i och med detta?

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Det kom 2 till notiser inkl uppdateringar idag. se 1:a inlägget.

Testkommandot kom med någon av dom

plun@dunder:~$ ssh-vulnkey
Not blacklisted: 2048 f9:24:fd:14:93:b1:11:11:11:11:41:8c:11:11:53:11 /etc/ssh/ssh_host_rsa_key
Not blacklisted: 1024 23:05:dd:b4:b3:11:11:11:11:9b:ab:77:11:11:59:11 /etc/ssh/ssh_host_dsa_key

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Okt 2005

Ojoj!! Jag som sitter på jobbet! Vill kolla! Nästan så man vill ringa hem till sambon och be henne starta burken, vill dock minnas att jag hade problem att komma åt den härifrån.

Återigen ssl och ftp'n, något jag måste vidta åtgärd för ?

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Nej jag håller på och fipplar med min eget skrälle

Bedrövligt o uselt... den svenska servern ligger efter

Skiftar man till "Main" blir det OK dvs tar bort se. i /etc/apt/sources.list

Följande paket har hållits tillbaka:
openssh-client openssh-server
Följande paket kommer att uppgraderas:
libssl0.9.8 ssh update-manager-core
3 uppgraderade, 0 nyinstallerade, 0 att ta bort och 2 ej uppgraderade.
Behöver hämta 2866kB arkiv.

Ska se vart jag landar.... Ska också felanmäla det Svenska serveriet...

https://launchpad.net/ubuntu/+archivemirrors

1 vecka efter....

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Apr 2005

Jag förstår att det här är allvarligt, men jag fattar inte om jag är drabbad? Jag använder inga nycklar när jag ansluter, jag skriver in lösenord för den användare som jag loggar in med...

Jag testade också köra ssh-vulnkey, och det funkade inte, även efter att jag installerat den nya uppdateringen

AMD Athlon 64 3200+ // Asus K8V-VM // 1 GB DDR 400 // Asus EN7600 GS // Soundblaster Live! // FSP 350W // Ubuntu 9.10
MacBook 13,3 // 2.2 GHz Core 2 Duo // 4 GB DDR2 667 // 120 GB HDD // Intel GMA X3100 // Mac OS X 10.6
HP e-PC 42 // P4 1,7 Ghz // 512MB SDRAM // 500 GB HDD // Ubuntu Server 8.04

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Lite komplicerat det här, har "tjötat" med Ubuntu serverfolket på IRC...

Säkerhetsfixar ska komma direkt från security.ubuntu.com

Om man kollar /etc/apt/sources.list så är det nog ett se. före alla adresser, hade jag iaf
och flera andra på IRC , se. kan man ta bort så hamnar man på "main". Förmodad bug
som kollas just nu.

Den svenska servern ligger efter tidsmässigt.

Nu skulle de visst fixa med paketen om det gick att kicka till dom.....

För att få fram alla uppdateringar så måste jag installera openssh-blacklist
sen funkade allting. Skulle också fixas.

Sen fick jag pakethaveri som löstes med sudo dpkg --reconfigure -a

Fram med tangentbord o skärm till burkskrället.....:)

"Slit o släp"...

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
Linköping
Registrerad
Okt 2005

Whey, efter att ha gjort som du skrev plunn så kan jag oxå kolla och mina var "not blacklisted"! Iof sig har jag bytt nyklar men det var ju bra hur som helst.

Riktigt nice att du skriver ner alla nödvändiga steg här!!

Trädvy Permalänk
Medlem
Plats
Göteborg
Registrerad
Aug 2003
Citat:

Ursprungligen inskrivet av plunn
Följande paket har hållits tillbaka:
openssh-client openssh-server
Följande paket kommer att uppgraderas:
libssl0.9.8 ssh update-manager-core
3 uppgraderade, 0 nyinstallerade, 0 att ta bort och 2 ej uppgraderade.
Behöver hämta 2866kB arkiv.

Varför håller den tillbaka på openssh?

I don't want to be human! I want to see gamma rays! I want to hear X-rays! And I want to - I want to smell dark matter!

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007
Citat:

Ursprungligen inskrivet av cable_guy6
Varför håller den tillbaka på openssh?

Det var paketknas igår förmodligen fixat

Att installera openssh-blacklist löste min knut inkl att jag hade
se. före alla mina repoadresser.

Lång.lång tråd om detta... inkl fler med pakettrubbel.
http://ubuntuforums.org/showthread.php?t=793517

Serverkillarna på IRC tipsade direkt om blacklist filen, borde vara fixat.

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
~
Registrerad
Apr 2003
Citat:

Ursprungligen inskrivet av Benkaboy
Återigen ssl och ftp'n, något jag måste vidta åtgärd för ?

Lite sent kanske, men jag kollade runt i Debians wiki och snubblade över det här: http://wiki.debian.org/SSLkeys#head-2963d1ff45980356f07ae01d9...

Trädvy Permalänk
Medlem
Plats
at home
Registrerad
Nov 2007

Kompletterat inlägg No1 med 2 till uppdateringar.

This update also includes the complete RSA-1024 and RSA-2048 blacklists for all Ubuntu architectures, as well as support for other future blacklists for non-standard bit lengths. You can check for weak SSL/TLS certificates by installing openssl-blacklist via your package manager, and using the openssl-vulnkey command.

$ openssl-vulnkey

Kommentarer från världens mer guruförklarade....

http://www.schneier.com/blog/archives/2008/05/random_number_b...

HD Moores metasploit rapport

http://metasploit.com/users/hdm/tools/debian-openssl/

"The toys" känner då alla i crackerkretsar till.....

ASUS K56CB i7, W10.
HTC 10
ASUS Transformer Prime 32GB, Nougat :)
Ubiquiti Edge Lite, UniFi AP-AC-Lite (AP) samt ASUS AC68U och N66U (AP), fiber 250/100Mbit/s.
Mitt nätverk: http://imgur.com/VYJjrzL Bild https://imgur.com/a/njFUnlC

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Mar 2004

tack, updaterar direkt.

| i5 6500 | asus z170-k | asus 970 strix | 16gb ddr4 | asus mg279Q | FD Define r4