- 17-03-23BIT-2A upgrade: Nieuwe koelmachines
- 30-12-22Wijziging stroomtarieven en portal updates
- 25-11-22BIT Friday
- 21-09-22BIT levert restwarmte aan Warmtebedrijf Ede
- 14-09-22Ruim helft organisaties kijkt naar duurzaamheid in keuze voor datacenter of cloudprovider
- 17-08-22Grand Prix Radio kiest voor betrouwbare hosting van radio-automatisering bij datacenter BIT
- 10-08-22Helft IT-beslissers gaat bij keuze voor nieuwe cloudleverancier voor grote naam
- 21-07-22Ruim een derde van IT-beslissers wil overstap maken naar Europees cloudplatform
- 30-06-22Eén op de vijf IT-beslissers heeft weinig vertrouwen in databescherming en privacy in de cloud
- 27-05-22Update RFO netwerk incident 17-04-2022
Openssl security-bug door Ubuntu en Debian gemeld, BIT zoekt naar gevoelige machines in het netwerk
15-05-2008 12:02:55
In de afgelopen dagen zijn er een aantal berichten gekomen van Debian en Ubuntu dat er in 2006 een beslissing is genomen die niet zo handig blijkt te zijn.
Het blijkt dat het genereren van keys ten behoeve van de encryptie helemaal niet zo random is als het zou moeten zijn. Hierdoor zou het erg eenvoudig zijn om keys na te maken.
De keys worden voor een aantal dingen gebruikt:
- Het (uniek) identificeren van een machine
- Het identificeren van een persoon, om in te loggen op een machine met SSH
- Het maken van certificaten voor SSL-websites
Het is reeds bekend welke combinaties makkelijk na te bootsen zijn en het is dus belangrijk om gevoelige keys opnieuw te maken. BIT is bezig om het complete netwerk te scannen, op zoek naar gevoelige machines. Voor zover mogelijk zullen we de eigenaren hiervan op de hoogte stellen, zodat men daarop actie kan ondernemen. Klanten met een onderhoudscontract op hun machine zullen een bericht ontvangen dat we de machines vandaag zullen upgraden en dat er dus mogelijk nieuwe keys zichtbaar kunnen zijn.
Keys die gemaakt zijn op de volgende besturingssystemen zijn mogelijk gevoelig:
- Debian Etch
- Ubuntu Feisty
- Ubuntu Gutsy
- Ubuntu Hardy
- Ubuntu Ibex
Ubuntu zal bij het upgraden zelf nieuwe keys aanmaken als het in de gaten heeft dat de keys gevoelig zijn. Tevens is er een script aanwezig om te bepalen of keys gevoelig zijn ssh-vulnkey. Er is ook een perlscript beschikbaar om te bepalen of machines en/of keys gevoelig zijn.
UPDATE, 19 mei
Inmiddels heeft GOVCERT een factsheet online gezet over deze bug(s).
Wil je meer weten?
Of wil je een vrijblijvende rondleiding door onze datacenters? Neem dan contact met ons op via sales@bit.nl of 0318 648 688.