- 28-11-24ECOFED uitgeroepen tot publieksfavoriet bij Computable Awards
- 21-11-24Een goede cloud heeft een kundige dirigent nodig
- 17-10-24ECOFED wint ICT Innovatieprijs Regio Foodvalley 2024
- 01-08-24BIT geeft kaarten weg voor F1 in Zandvoort
- 24-04-24Status.bit.nl in nieuw jasje!
- 12-04-24Nieuw bij BIT: GPU hosting
- 25-03-24BIT breidt netwerkconnectiviteit uit met aansluiting op NL-ix^2
- 13-03-24No More Leaks: Samenwerken tegen cybercriminaliteit
- 03-03-24Geen verandering twee jaar na invoering sancties tegen Russische media: FOIC roept (wederom) op tot einde van ondemocratische censuur
- 29-01-24Onzichtbare upgrades
Openssl security-bug door Ubuntu en Debian gemeld, BIT zoekt naar gevoelige machines in het netwerk
In de afgelopen dagen zijn er een aantal berichten gekomen van Debian en Ubuntu dat er in 2006 een beslissing is genomen die niet zo handig blijkt te zijn.
Het blijkt dat het genereren van keys ten behoeve van de encryptie helemaal niet zo random is als het zou moeten zijn. Hierdoor zou het erg eenvoudig zijn om keys na te maken.
De keys worden voor een aantal dingen gebruikt:
- Het (uniek) identificeren van een machine
- Het identificeren van een persoon, om in te loggen op een machine met SSH
- Het maken van certificaten voor SSL-websites
Het is reeds bekend welke combinaties makkelijk na te bootsen zijn en het is dus belangrijk om gevoelige keys opnieuw te maken. BIT is bezig om het complete netwerk te scannen, op zoek naar gevoelige machines. Voor zover mogelijk zullen we de eigenaren hiervan op de hoogte stellen, zodat men daarop actie kan ondernemen. Klanten met een onderhoudscontract op hun machine zullen een bericht ontvangen dat we de machines vandaag zullen upgraden en dat er dus mogelijk nieuwe keys zichtbaar kunnen zijn.
Keys die gemaakt zijn op de volgende besturingssystemen zijn mogelijk gevoelig:
- Debian Etch
- Ubuntu Feisty
- Ubuntu Gutsy
- Ubuntu Hardy
- Ubuntu Ibex
Ubuntu zal bij het upgraden zelf nieuwe keys aanmaken als het in de gaten heeft dat de keys gevoelig zijn. Tevens is er een script aanwezig om te bepalen of keys gevoelig zijn ssh-vulnkey
. Er is ook een perlscript beschikbaar om te bepalen of machines en/of keys gevoelig zijn.
UPDATE, 19 mei
Inmiddels heeft GOVCERT een factsheet online gezet over deze bug(s).
Wil je meer weten?
Of wil je een vrijblijvende rondleiding door onze datacenters? Neem dan contact met ons op via sales@bit.nl of 0318 648 688.