Nieuws:

Welkom, Gast. Alsjeblieft inloggen of registreren.
Heb je de activerings-mail niet ontvangen?

Auteur Topic: Belangrijk veiligheidslek in Ubuntu?  (gelezen 2934 keer)

pjvolders

  • Gast
Belangrijk veiligheidslek in Ubuntu?
« Gepost op: 2008/05/13, 21:07:28 »
Er verscheen juist een belangrijk bericht op de Fridge:

http://fridge.ubuntu.com

Ik snap er niet veel van, moet ik ergens schrik voor hebben???


groetjes
PJ

Offline BailHope

  • Lid
    • Techneut
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #1 Gepost op: 2008/05/13, 21:22:56 »
Bwa, het valt nog mee.

De random nummer generator wordt gebruikt om gegevens te encrypteren (te beveiligen). Als deze niet random (willekeurig) is, kan je de sleutel raden om gegevens te ontcijferen aan de hand van brute force (gewoon beginnen proberen tot het lukt).

De kans dat iemand dat echt op een desktopsysteem doet is marginaal klein. Ik denk dat servers meer schrik moeten hebben van zo'n aanvallen.
Ubuntu user #12046
Mijn blog voor techneuten: http://techneut.wordpress.com
Voor de professionele IT'er: http://it-potato.blogspot.com

Offline idefix

  • Lid
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #2 Gepost op: 2008/05/13, 21:35:13 »
Citaat van: pjvolders
Er verscheen juist een belangrijk bericht op de Fridge:

http://fridge.ubuntu.com

Ik snap er niet veel van, moet ik ergens schrik voor hebben???


groetjes
PJ
Ik denk het niet direct. Het probleem is dit: er moeten sleutels gemaakt worden om zaken mee te coderen (encryption). Deze sleutel bestaat uit een aantal cijfers.  Sleutels moeten zo willekeurig mogelijk zijn (een willekeurige reeks cijfers). Daarom is het zo moeilijk een goede generator te maken die echt willekeurige sleutels maakt: per definitie is zo een generator een functie die een bepaalde input omzet in een bepaalde output. En dat is altijd voorspelbaar.

Deze output moet zoveel mogelijk aan de eisen van willekeurigheid (randomness) voldoen: één van die eisen  is onvoorspelbaarheid. bvb 720821 is beter dan 333333. Deze laatste is weliswaar makkelijker te  onthouden, maar een kwaadwillende aanvaller zal eerst proberen deze "makkelijk te onthouden" sleutels te combineren met onderschepte versleutelde tekst. De meeste mensen gebruiken namelijk gemakkelijk te onthouden reeksen (verjaardagen bvb).

Daarom mag een getallenreeks niet "common" zijn, en daar zit nu net het probleem: bij een bepaalde input wordt een "common" getallenreeks gegenereerd en dat moet vermeden worden.
Dit is wat ik denk dat het probleem is.
Support bacteria. They're the only culture some people have.

Offline JanClaeys

  • Lid
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #3 Gepost op: 2008/05/14, 00:56:47 »
Voor wie geen server(s) draait, maar wel ssh gebruikt om er op in te loggen, is het wel best om ook je ssh client keys te vervangen, maar let wel op hoe je dat doet...  (zorg dat je nieuwe keys bekend zijn op alle servers die je gebruikt vóór je de oude in ongebruik stelt... ;)
Jan Claeys
Ubuntu-nl IRC team - Ubuntu-be LoCoTeam Contact

Offline Johan van Dijk

  • Administrator
    • johanvandijk
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #4 Gepost op: 2008/05/14, 01:11:16 »
Ik heb zojuist alle keys hier vervangen :)

Offline Ronnie

  • Artworkteam
    • ronnie.vd.c
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #5 Gepost op: 2008/05/14, 09:30:35 »
ik ga zo mijn key op Launchpad vervangen :D
Ben je ook blij dat Ubuntu zo toegankelijk en gratis is, en wil je graag net als ik iets terugdoen, kijk dan eens rond bij mwanzo, dé poort naar het bijdragen aan Ubuntu en haar gemeenschap!

Documentatie Terminal

Offline Soul-Sing

  • Lid
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #6 Gepost op: 2008/05/14, 09:59:52 »
het is een buitengewoon ernstig veiligheidslek. je kunt checken of je sleutel compromised is: $ ssh-vulnkey To check all keys on your system: $ sudo ssh-vulnkey -a To check a key in a non-standard location: $ ssh-vulnkey /path/to/key
ik heb gewoon de keys vervangen.

Offline gercokees

  • Lid
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #7 Gepost op: 2008/05/14, 10:33:43 »
Nou, ik heb toch maar mooi een paar compromised keys, en dat is geen goed nieuws.... dus: Vervangen die hap...
Groet,
Gerco-Kees
<><

pjvolders

  • Gast
Belangrijk veiligheidslek in Ubuntu?
« Reactie #8 Gepost op: 2008/05/14, 10:45:57 »
Ik heb geen keys :-)
Kan dat? (sorry als het een stomme vraag is, maar ik snap hier dus echt weinig van)

grtn
PJ

Offline Paul Matthijsse

  • Lid
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #9 Gepost op: 2008/05/14, 11:15:36 »
Hallo, vanaf gisteravond worden er updates aangeboden die dit - inderdaad vrij ernstige - probleem kennelijk verhelpen. Het zijn waarschijnlijk de volgende updates: libssl, openssh-client en openssl.

Ik zag gisteravond tijdens het upgraden op een machine beneden inderdaad een melding over ssh-keys, en iets over ssh-vulnkey. Op mijn werkmachine vandaag kreeg ik deze melding niet.

sudo ssh-vulnkey -a geeft op m'n werkmasjien niets terug, dus ik neem aan dat de boel verholpen is.

@ pjvolders: als je geen keys hebt, heb je vermoedelijk ssh niet geïnstalleerd! Die sleutels zorgen ervoor dat een ssh-verbinding tussen twee machines beveiligd is. Ze zijn te vinden in ~/.ssh/known_hosts.
https://allesgimpofbijna.wordpress.com - GIMP en omstreken
https://paulsphotopalace.wordpress.com (Engelstalig) - Raw, RawTherapee, G'MIC, GIMP...

Offline gercokees

  • Lid
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #10 Gepost op: 2008/05/14, 11:17:12 »
Het is alleen een probleem als je gebruik maakt van SSH. (Secure SHell). Met ssh kun je eenvoudig bestanden uitwisselen tussen verschillende linux-computers, ook via het internet. Je kunt als het ware een terminal opstarten met een computer op afstand.
Waarschijnlijk heb je het niet geinstalleerd, dus, geen probleem!!
Als je twijfelt, je systeem upgraden en dan:
Toepassingen > hulpmiddelen > terminalvenster en dan:
ssh-vulnkey
uitvoeren.
Wanneer dit comando niet beschikbaar is gebruik je geen ssh.
Is het wel beschikbaar, dan wordt aangegeven of je keys blacklisted zijn (geen probleem) of compromised (keys vervangen)
Groet,
Gerco-Kees
<><

pjvolders

  • Gast
Belangrijk veiligheidslek in Ubuntu?
« Reactie #11 Gepost op: 2008/05/14, 14:31:06 »
Hoi

Zowel sudo ssh-vulnkey -a als ssh-vulnkey geven geen output terug, maar ik heb het dus blijkbaar wel geïnstalleerd. -Geen idee waar het vandaan komt, voor zover ik weet heb ik het nooit gebruikt :-)
No worries dus, hopelijk is er niemand zwaar in de problemen gekomen door deze bug...
Lang leven open source wel, anders was er wss nooit zo snel een update geweest.

groetjes
PJ

Offline Sjoerd Broekhuijsen

  • Forumteam
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #12 Gepost op: 2008/05/14, 17:18:10 »
Waneer zal dit eigenlijk gefixt zijn?
Zal denk niet heel lang duren, heb er zelf niet veel last van, ben niet zo heel bang voor aanvallen op mijn PC, ik heb er zowiezo behalve muziek enzo niets belangrijks ofzo opstaan, alleen ubuntu is waardevol van wat er op mijn PC staat, en dat is toch behalve voor eigen gebruik voor hackers niet interessant :D
PC: Processor - AMD Athlon II X4 640 (quad core, 3.0GHz), 4GB DDR2 RAM 800MHz, Videokaart: ATI Sapphire HD4850 met 512MB geheugen, 500gb 7200RPM HDD, Ubuntu 12.04 LTS

Wat doe je als je vraag is opgelost?

Offline gercokees

  • Lid
  • Steunpunt: Nee
Belangrijk veiligheidslek in Ubuntu?
« Reactie #13 Gepost op: 2008/05/14, 17:22:39 »
Het is *NU* gefixt, maar je moet wel je sleutels regenereren (als je die gebruikt, zie mijn vorige post...)
Groet,
Gerco-Kees
<><