- 30-06-22Eén op de vijf IT-beslissers heeft weinig vertrouwen in databescherming en privacy in de cloud
- 27-05-22Update RFO netwerk incident 17-04-2022
- 23-05-22Freedom of Information Coalition (FOIC) stapt naar de Europese rechter
- 04-05-22Drie op de tien IT-beslissers: beveiliging klantdata laat te wensen over
- 21-04-22Kwart IT-beslissers vindt aandacht voor privacy overdreven
- 19-04-22RFO Netwerk Incident 17-04-2022
- 07-04-22Locatie dataopslag niet in top drie argumenten voor keuze cloudprovider
- 09-03-22The Hague Centre for Strategic Studies migreert dataplatform naar BIT NL Cloud
- 22-02-22Vier op de tien IT-beslissers weten niet wat cloudprovider doet aan databeveiliging
- 21-02-22BIT-MeetMe weer volledig open
Openssl security-bug door Ubuntu en Debian gemeld, BIT zoekt naar gevoelige machines in het netwerk
In de afgelopen dagen zijn er een aantal berichten gekomen van Debian en Ubuntu dat er in 2006 een beslissing is genomen die niet zo handig blijkt te zijn.
Het blijkt dat het genereren van keys ten behoeve van de encryptie helemaal niet zo random is als het zou moeten zijn. Hierdoor zou het erg eenvoudig zijn om keys na te maken.
De keys worden voor een aantal dingen gebruikt:
- Het (uniek) identificeren van een machine
- Het identificeren van een persoon, om in te loggen op een machine met SSH
- Het maken van certificaten voor SSL-websites
Het is reeds bekend welke combinaties makkelijk na te bootsen zijn en het is dus belangrijk om gevoelige keys opnieuw te maken. BIT is bezig om het complete netwerk te scannen, op zoek naar gevoelige machines. Voor zover mogelijk zullen we de eigenaren hiervan op de hoogte stellen, zodat men daarop actie kan ondernemen. Klanten met een onderhoudscontract op hun machine zullen een bericht ontvangen dat we de machines vandaag zullen upgraden en dat er dus mogelijk nieuwe keys zichtbaar kunnen zijn.
Keys die gemaakt zijn op de volgende besturingssystemen zijn mogelijk gevoelig:
- Debian Etch
- Ubuntu Feisty
- Ubuntu Gutsy
- Ubuntu Hardy
- Ubuntu Ibex
Ubuntu zal bij het upgraden zelf nieuwe keys aanmaken als het in de gaten heeft dat de keys gevoelig zijn. Tevens is er een script aanwezig om te bepalen of keys gevoelig zijn ssh-vulnkey
. Er is ook een perlscript beschikbaar om te bepalen of machines en/of keys gevoelig zijn.
UPDATE, 19 mei
Inmiddels heeft GOVCERT een factsheet online gezet over deze bug(s).
Wil je meer weten?
Of wil je een vrijblijvende rondleiding door onze datacenters? Neem dan contact met ons op via sales@bit.nl of 0318 648 688.