schokokeks.org

Hosting

Sicherheitslücke in OpenSSH

Fr, 15. Jan 2016 - 10:28, CC by-sa

Eine von der Firma Qualys gefundene Sicherheitslücke in OpenSSH sorgt gerade für einige Aufregung. In einer kaum bekannten und genutzten Roaming-Funktion von SSH ist ein kritischer Fehler, der unter Umständen einem bösartigen Server das Auslesen des Client-Keys erlaubt.

 

SSL/SSH-Keys von Debian-basierten Systemen kompromittiert

Fr, 16. Mai 2008 - 00:30, CC by-sa

Eine Verwundbarkeit in den OpenSSL-Paketen von Debian hat gravierende Auswirkungen. Diverse Schlüssel, die mit diesem Paket erstellt wurden, sind angreifbar.

http://nvd.nist.gov/nvd.cfm?cvename=CVE-2008-0166

Auf unseren eigenen Systemen benutzen wir ausschließlich Gentoo Linux, insofern sind unsere Server-Keys nicht betroffen. Zur Sicherheit unsere Kunden haben wir alle SSL-Server-Zertifikate und alle SSH-Publickeys (in authorized_keys) überprüft.

Wir fanden keine unsicheren SSL-Zertifikate. Einige wenige SSH-Keys waren verwundbar, wir haben diese deaktiviert und die entsprechenden Nutzer informiert.

 

Login mit Einmalpasswörtern

Di, 29. Jan 2008 - 17:33, CC by-sa

Wenn man sich von einem Rechner, den andere Personen kontrollieren können (Internet-Café, bei Fremden, ...) mit einem Passwort einloggen möchte, besteht immer die reale Gefahr, dass der Rechner das Passwort irgendwo protokolliert ("Keylogger") und damit andere Personen Zugriff auf das Passwort und damit den benutzten Account haben.

Um diesem Problem ohne zusätzliche Hardware zu begegnen gibt es eigentlich nur eine funktionierende Lösung: One-Time-Passwords bzw. Einmalpasswörter (kurz: OTP).

Ab sofort unterstützen wir Einmalpasswörter nach dem S/Key-Verfahren. Damit kann sich jeder Benutzer bei Bedarf den Zugang mittels Einmalpasswörtern ermöglichen. Mehr Informationen dazu in unserem Wiki.

 
RSS - ssh abonnieren