Terrapin-Angriff auf SSH-Verbindungen
Vor kurzem wurde eine neue Sicherheitslücke in SSH namens Terrapin veröffentlicht.
Das Risiko ist vergleichsweise gering, allerdings handelt es sich um eine Schwäche im SSH-Protokoll selbst. Frühe Nachrichten im SSH-Handshake wurden bislang nicht authentifiziert. Daher wurde eine Erweiterung für das SSH-Protokoll entwickelt, die diese Authentifizierung künftig sicherstellt (strict key exchange).
Wichtiges Sicherheitsupdate für PuTTY und diverse FTP/SFTP-Programme
Wir wissen, dass viele unserer Kunden PuTTY nutzen, um auf ihren Account zuzugreifen oder Daten zu übertragen. In PuTTY wurden gerade eine Reihe von kritishcen Sicherheitslücken gefunden, die in der Version 0.71 behoben sind.
Zudem gibt es eine Reihe von Programmen zum Dateitransfer - etwa FileZilla oder WinSCP - die ebenfalls den Code von PuTTY verwenden, um eine Dateiübertragung mit SFTP zu ermöglichen. Für FileZilla gibt es inzwischen ein Update, für WinSCP noch nicht.
Sicherheitslücke in OpenSSH
Eine von der Firma Qualys gefundene Sicherheitslücke in OpenSSH sorgt gerade für einige Aufregung. In einer kaum bekannten und genutzten Roaming-Funktion von SSH ist ein kritischer Fehler, der unter Umständen einem bösartigen Server das Auslesen des Client-Keys erlaubt.
SSL/SSH-Keys von Debian-basierten Systemen kompromittiert
Eine Verwundbarkeit in den OpenSSL-Paketen von Debian hat gravierende Auswirkungen. Diverse Schlüssel, die mit diesem Paket erstellt wurden, sind angreifbar.
https://nvd.nist.gov/vuln/detail/CVE-2008-0166
Auf unseren eigenen Systemen benutzen wir ausschließlich Gentoo Linux, insofern sind unsere Server-Keys nicht betroffen. Zur Sicherheit unsere Kunden haben wir alle SSL-Server-Zertifikate und alle SSH-Publickeys (in authorized_keys) überprüft.
Wir fanden keine unsicheren SSL-Zertifikate. Einige wenige SSH-Keys waren verwundbar, wir haben diese deaktiviert und die entsprechenden Nutzer informiert.
Login mit Einmalpasswörtern
Wenn man sich von einem Rechner, den andere Personen kontrollieren können (Internet-Café, bei Fremden, ...) mit einem Passwort einloggen möchte, besteht immer die reale Gefahr, dass der Rechner das Passwort irgendwo protokolliert ("Keylogger") und damit andere Personen Zugriff auf das Passwort und damit den benutzten Account haben.
Um diesem Problem ohne zusätzliche Hardware zu begegnen gibt es eigentlich nur eine funktionierende Lösung: One-Time-Passwords bzw. Einmalpasswörter (kurz: OTP).
Ab sofort unterstützen wir Einmalpasswörter nach dem S/Key-Verfahren. Damit kann sich jeder Benutzer bei Bedarf den Zugang mittels Einmalpasswörtern ermöglichen. Mehr Informationen dazu in unserem Wiki.
