# OpenSSH - Sicherheitslücke in Ubuntu und Debian



## hahni (16. Mai 2008)

Hallo zusammen,

welche Probleme können sich durch die bekannt gewordene Sicherheitslücke in SSL mit ISPConfig einstellen?

Ubuntu 6.06 LTS ist ja von Haus aus schon einmal nicht betroffen. Und wenn man sich direkt mit Kennwort über SSH einwählt, ist dies auch kein Problem.

Aber in ISPConfig werden ja auch SSL-Zertifikate und -Schlüssel erzeugt. Besteht Handlungsbedarf?

Viele Grüße

Hahni


----------



## Till (16. Mai 2008)

Wenn das SSL auf dem System nicht betroffen ist, dann ist auch ISPConfig nicht betroffen, da ISPConfig das installierte SSL der Linuxdistribution verwendet.


----------



## hahni (16. Mai 2008)

Die Software-Version ist eine andere als die sicherheitsrelevante! Und laut Mitteilung erst ab 7.04! Von daher gut, dass ich noch nicht auf 8.04 LTS hochgezogen hatte ! Und wenn seitens ISPConfig nix an SSL verändert wurde, ist es in diesem Fall umso besser


----------



## BRoehsa (16. Mai 2008)

*ssh+ssl Debian Etch*

Wenn ich das jetzt richtig verstanden habe, 
muss ich aber auf einem betroffenen Debian Etch System wenigstens das SSL Webserver Zertifikat updaten, Korrekt???
das habe ich bereits mit dieser Anleitung erledigt.
SSL und SSH wurde natürlich bereits vorher mit "aptitude update" + "aptitude dist-upgrade" auf den aktuellen stand gebracht..
jetzt stellt sich gerade für mich noch die frage, ob ich noch was machen muss.... 

Danke schonmal 
BRoehsa


----------



## markusm (23. Mai 2008)

Zitat von BRoehsa:


> jetzt stellt sich gerade für mich noch die frage, ob ich noch was machen muss....
> 
> Danke schonmal
> BRoehsa


hattest du irgendwo Public-Key-Autentifizierung eingestellt?
wenn ja und die Keys von Debain-systemen kommen => /dev/null
im Zweifel => /dev/null

ich würde auf jeden fall mit dowkd.pl localhost und alle ~/.ssh/* incl root-account überprüfen. 


- hostkeys neu erstellt & überprüft?


- denyhosts installieren


mex


----------



## BRoehsa (23. Mai 2008)

Zitat von markusm:


> hattest du irgendwo Public-Key-Autentifizierung eingestellt?
> wenn ja und die Keys von Debain-systemen kommen => /dev/null
> im Zweifel => /dev/null
> 
> ich würde auf jeden fall mit dowkd.pl localhost und alle ~/.ssh/* incl root-account überprüfen.


das ist klar... (wer das noch nicht gemacht hat ist selbst schuld  )
ich habe alle SSH keys getauscht 
zudem die postfix zertifikate und alle anderen die mit Zertifikaten und Verschlüsselung zu tun haben. (websites, etc...) 
desweiteren habe ich alle neuen Zertifikate mit dowkd.pl und ssh-vulnkey geprüft und für gut befunden.




Zitat von markusm:


> - hostkeys neu erstellt & überprüft?


natürlich auch schon gemacht 



Zitat von markusm:


> - denyhosts installieren


ist auch bereits schon installiert gewsen 

mex


aber meine frage bezog sich auf ISPConfig direkt...
denn es sollte wie bereits gesagt auch beim zertifikats tausch an ISPConfig gedacht werden und jetzt war halt meine Frage, ob in bezug auf ISPConfig noch etwas gepatcht werden muss....
Dennoch trotzdem danke  

BRoehsa


----------

