20080513 - Alvorlig sikkerhetshull i OpenSSL for Debian/Ubuntu
Det er oppdaget et alvorlig sikkerhetshull i OpenSSL i Debian og Ubuntu. Problemet gjelder kun disse to distribusjonene, ikke OpenSSL generelt. For mer informasjon, se varslene fra Debian og Ubuntu.
På grunn av dette hullet har vi måttet endre host-nøkkelen på følgende PVV-maskiner:
- gaukeluren.pvv.ntnu.no
- berners-lee.pvv.ntnu.no
- horisont.pvv.ntnu.no (også kjent som login.pvv.ntnu.no)
- nissen.pvv.ntnu.no
- olympic.pvv.ntnu.no
Dette vil medføre at SSH-sesjoner mot disse maskinene vil klage over at nøkkelen er endret, og advare mot man-in-the-middle-angrep. Du må da fjerne den gamle nøkkelen din (f.eks. fra ~/.ssh/known_hosts) og la SSH laste ned den nye nøkkelen.
Vi anbefaler alle som har benyttet en DSA-nøkkel for å logget inn på en maskin som kjører Debian eller Ubuntu om å lage seg et nytt nøkkelpar, og fjerne den gamle nøkkelen fra ~/.ssh/authorized_keys. Følgende PVV-maskiner har kjørt en sårbar OpenSSL-installasjon:
- gaukeluren.pvv.ntnu.no
- grubgrub.pvv.ntnu.no
- kremt.pvv.ntnu.no
- nissen.pvv.ntnu.no
- olympic.pvv.ntnu.no
- berners-lee.pvv.ntnu.no
- egg.pvv.ntnu.no
- horisont.pvv.ntnu.no
- tvilling.pvv.ntnu.no
Husk også å sjekke at ikke dine egne maskiner eller nøkkelpar er sårbare.
