dsa-1576.wml 6.92 KB
Newer Older
Kaare Olsen's avatar
Kaare Olsen committed
1
<define-tag description>forudsigelig generator af tilfældige tal</define-tag>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
2
<define-tag moreinfo>
Kaare Olsen's avatar
Kaare Olsen committed
3
<p>Den nyligt annoncerede sårbarhed i Debians openssl-pakke
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
4
(<a href="/security/2008/dsa-1571">DSA-1571-1</a>, 
5
<a href="https://security-tracker.debian.org/tracker/CVE-2008-0166">\
Kaare Olsen's avatar
Kaare Olsen committed
6 7 8
CVE-2008-0166</a>) påvirker indirekte OpenSSH.  Som en følge deraf må alle
bruger- og værts-nøgler genereret ved hjælp af defekte versioner af 
openssl-pakken betragtes som upålidelige, selv efter openssl-opdateringen er
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
9 10
foretaget.</p>

Kaare Olsen's avatar
Kaare Olsen committed
11
<p>1. Installér sikkerhedsopdateringer</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
12

Kaare Olsen's avatar
Kaare Olsen committed
13
   <p>Denne opdatering er afhænging af openssl-opdateringen og vil automatisk
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
14 15 16
   installere en rettet version af pakken libssl0.9.8 og en ny pakke, 
   openssh-blacklist.</p>

Kaare Olsen's avatar
Kaare Olsen committed
17
   <p>Når opdateringen er udført, vil svage brugernøgler automatisk blive 
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
18
   afvist hvor det er muligt (dog kan man ikke identificere dem i alle 
Kaare Olsen's avatar
Kaare Olsen committed
19 20
   situationer).  Hvis du anvender sådanne nøgler til brugerautentificering,
   vil de omgående holde op med at virke og skal udskiftes (se trin 3).</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
21

Kaare Olsen's avatar
Kaare Olsen committed
22 23 24
   <p>OpenSSH-værtsnøgler kan regenereres automatisk når 
   sikkerhedsopdateringen af OpenSSH udført.  Opdateringen vil bede om en 
   bekræftelse, før dette trin udføres.</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
25

Kaare Olsen's avatar
Kaare Olsen committed
26
<p>2. Opdatér OpenSSH's known_hosts-filer</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
27

Kaare Olsen's avatar
Kaare Olsen committed
28 29 30
   <p>Regenereringe af værtsnøgler vil forårsage at en advarsel vises, når 
   man forbinder sig til et system gennem SSH, indtil værtsnøglen er blevet 
   opdatering i filen known_hosts.  Advarslen skulle se ud som følger:</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
31 32 33 34 35 36 37 38 39 40

<pre>
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
@    WARNING: REMOTE HOST IDENTIFICATION HAS CHANGED!     @
@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@@
IT IS POSSIBLE THAT SOMEONE IS DOING SOMETHING NASTY!
Someone could be eavesdropping on you right now (man-in-the-middle attack)!
It is also possible that the RSA host key has just been changed.
</pre>

Kaare Olsen's avatar
Kaare Olsen committed
41
   <p>I denne situtation er værtsnøglen blot blevet udskiftet, og du bør 
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
42
   opdatere de relevante known_hosts-filer, som angivet i fejlmeddelelsen.
Kaare Olsen's avatar
Kaare Olsen committed
43 44
   Det anbefales at du anvender en pålidelig måde, at udskifte servernøglen 
   på.  Den ligger i filen /etc/ssh/ssh_host_rsa_key.pub på serveren; det er 
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
45 46 47 48
   et fingeraftryk der kan udskrives med kommandoen:</p>

      <p>ssh-keygen -l -f /etc/ssh/ssh_host_rsa_key.pub</p>

Kaare Olsen's avatar
Kaare Olsen committed
49 50 51 52
   <p>Ud over brugerspecifikke known_hosts-filer, kan der også være en fil 
   med kendte værter gældende for hele systemet, /etc/ssh/ssh_known_hosts.  Denne 
   fil anvendes både af ssh-klienten og af sshd i deres hosts.equiv-funktionalitet.
   Også denne fil skal opdateres.</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
53

Kaare Olsen's avatar
Kaare Olsen committed
54
<p>3. Kontrollér alle OpenSSH-brugernøgler</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
55

Kaare Olsen's avatar
Kaare Olsen committed
56
   <p>Den sikreste fremgangsmåde er at regenerere alle OpenSSH-brugernøgler,
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
57
   bortset fra hvor der med stor sandsynlighed er tale om en fil, der blev 
Kaare Olsen's avatar
Kaare Olsen committed
58
   genereret på et upåvirket system.</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
59

Kaare Olsen's avatar
Kaare Olsen committed
60
   <p>Undersøg hvorvidt din nøgle er påvirket, ved at køre værktøjet 
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
61
   ssh-vulnkey, der er indeholdt i sikkerhedsopdateringen.  Som standard vil 
Kaare Olsen's avatar
Kaare Olsen committed
62
   ssh-vulnkey kigge i standardplaceringer for brugernøgler (~/.ssh/id_rsa, 
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
63 64
   ~/.ssh/id_dsa og ~/.ssh/identity), din authorized_keys-fil 
   (~/.ssh/authorized_keys og ~/.ssh/authorized_keys2) samt systemets 
Kaare Olsen's avatar
Kaare Olsen committed
65
   værtsnøgler (/etc/ssh/ssh_host_dsa_key og /etc/ssh/ssh_host_rsa_key).</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
66

Kaare Olsen's avatar
Kaare Olsen committed
67
   <p>For at kontrollére alle dine egne nøgler, forudsat at de befinder sig i
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
68 69 70 71
   standardplaceringerne (~/.ssh/id_rsa, ~/.ssh/id_dsa, or ~/.ssh/identity):</p>

     <p>ssh-vulnkey</p>

Kaare Olsen's avatar
Kaare Olsen committed
72
   <p>For at kontrollere alle nøgler på dit system:</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
73 74 75

     <p>sudo ssh-vulnkey -a</p>

Kaare Olsen's avatar
Kaare Olsen committed
76
   <p>For at kontrollere en nøgle i en ikke-standardplacering:</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
77 78 79

     <p>ssh-vulnkey /path/to/key</p>

Kaare Olsen's avatar
Kaare Olsen committed
80 81 82 83 84 85 86 87
   <p>Hvis ssh-vulnkey siger "Unknown (no blacklist information)", så har det  
   ingen oplysninger om hvorvidt den pågældende nøgle er påvirket eller ej.  I 
   denne situation kan du undersøge filens ændringstidspunkt (mtime) med 
   "ls -l".  Nøgler genereret før september 2006 er ikke påvirket.  Vær 
   opmærksom på, at selv om det er usandsynligt, kan 
   sikkerhedskopieringsprocedurer have ændret filens dato længere tilbage i 
   tiden (eller systemuret kan have været indstillet forkert). 
   Hvis du er i tvivl, så generér en ny nøgle og fjern den gamle fra alle 
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
88 89
   servere.</p>

Kaare Olsen's avatar
Kaare Olsen committed
90
<p>4. Regenerér alle påvirkede brugernøgler</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
91

Kaare Olsen's avatar
Kaare Olsen committed
92 93
   <p>OpenSSH-nøgler anvendt til brugerautentificering skal regenereres manuelt,
   heriblandt også dem, der siden kan være blevet overført til andre systemer, 
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
94 95
   efter de er blevet genereret.</p>

Kaare Olsen's avatar
Kaare Olsen committed
96
   <p>Nye nøgler kan genereres ved hjælp af ssh-keygen, fx:</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
97 98 99 100 101 102 103 104 105 106 107 108 109

<pre>
   $ ssh-keygen
   Generating public/private rsa key pair.
   Enter file in which to save the key (/home/user/.ssh/id_rsa):
   Enter passphrase (empty for no passphrase):
   Enter same passphrase again:
   Your identification has been saved in /home/user/.ssh/id_rsa.
   Your public key has been saved in /home/user/.ssh/id_rsa.pub.
   The key fingerprint is:
   00:00:00:00:00:00:00:00:00:00:00:00:00:00:00:00 user@host
</pre>

Kaare Olsen's avatar
Kaare Olsen committed
110
<p>5. Opdatér authorized_keys-filer (om nødvendigt)</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
111

Kaare Olsen's avatar
Kaare Olsen committed
112 113 114 115
   <p>Når dine brugernøgler er blevet regenereret, skal de relevante offentlige 
   nøgler overføres til alle authorized_keys-filer (og authorized_keys2-filer, 
   om nøvendigt) på fjerne systemer.  Sørg for at slette linjerne indeholdende
   gamle nøgler, fra disse filer.</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
116 117


Kaare Olsen's avatar
Kaare Olsen committed
118 119
<p>Ud over forholdsreglerne over for tilfældighedssårbarheden, rettes der med 
denne OpenSSH-opdatering også flere andre sårbarheder:</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
120

121
<p><a href="https://security-tracker.debian.org/tracker/CVE-2008-1483">CVE-2008-1483</a>:
Kaare Olsen's avatar
Kaare Olsen committed
122 123 124 125 126
   Timo Juhani Lindfors opdagede at, når man anvender X11-viderestilling, 
   vælger SSH-klienten en X11-viderestillingsport uden at sikre sig, at den kan 
   knyttes til alle adressefamilier.  Hvis systemet er opsat med IPv6 (også selv 
   om det ikke har en fungerende IPv6-forbindelse), kunne dette gøre det muligt 
   for en lokal angriber på den fjerne server, at kapre X11-viderestillingen.</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
127

128
<p><a href="https://security-tracker.debian.org/tracker/CVE-2007-4752">CVE-2007-4752</a>:
Kaare Olsen's avatar
Kaare Olsen committed
129 130 131
   Jan Pechanec opdagede at ssh går tilbage til at oprette en betroet X11-cookie,
   hvis oprettelsen af en ubetroet cookie går galt, potentielt gørende den lokale
   skærm tilgængelig for en ondsindet fjern server, når X11-viderestilling 
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
132 133 134
   anvendes.</p>

<p>I den stabile distribution (etch), er disse problemer rettet i
Kaare Olsen's avatar
Kaare Olsen committed
135 136
version 4.3p2-9etch1.  Pt. er kun en del af de understøttede arkitekturer 
klar; efterfølgende opdateringer vil følge, når filerne er parate.</p>
Kåre Thor Olsen's avatar
Kåre Thor Olsen committed
137 138 139 140 141 142 143 144 145 146

<p>I den ustabile distribution (sid) og i distributionen testing (lenny), er 
disse problemer rettet i version 4.7p1-9.</p>

<p>Vi anbefaler at du opgraderer dine openssh-pakker og tager de 
forholdsregler, som er beskrevet herover.</p>
</define-tag>

# do not modify the following line
#include "$(ENGLISHDIR)/security/2008/dsa-1576.data"
147
#use wml::debian::translation-check translation="b128ca5f062ffd92dfde8a7b5888d4e87ec075f2" mindelta="1"