OpenSSL Sicherheitslücke

[Fireball22]

Hallo,

leider wurden alle Strato-V-Server Kunden mit Debian Systemen informiert, dass ihr System eine kritische Sicherheitslücke bezüglich eines OpenSSL-Bugs enthält.

Dazu wurde folgender Link angefügt:
Schwache Krypto-Schlüssel unter Debian, Ubuntu und Co. - heise Security
Allerdings weiß ich nicht so recht was ich da genau tun soll, ich finde nur Programme, die ich entweder selbst sogar noch kompilieren darf, aber dann sowieso nur irgendwelche Sicherheitstests durchführen kann.
Gibt es nicht auch irgendwo einen direkt ausführbaren Patch zum Download?

Sonstige Sicherheitsupdates gibt es auf meinem System im Moment nicht zum installieren. (aptitude update --> aptitude upgrade). (Debian 3.1)

Ich würde mich freuen wenn mir jemand erklären kann um welches Problem es sich eig. genau handelt, da ich mit OpenSSL eig. noch nie etwas zu tun hatte.

MfG
Michael

 

[Roger Wilco]

1. Debian Sarge ist von dem Problem nicht betroffen.
2. https://serversupportforum.de/threads/debian-krypto-keys-unsicher-update.23940/

Sonstige Sicherheitsupdates gibt es auf meinem System im Moment nicht zum installieren. (aptitude update --> aptitude upgrade). (Debian 3.1)

Debian -- News -- Security Support for Debian 3.1 to be terminated

Ich würde mal über ein Update nachdenken...

 

[Fireball22]

Aber steht im heise-Bericht nicht, dass es diesen Bug seit 2006 gibt?

Und ich verstehe gar nicht wirklich, wie ich eig. mitbekomme, ob OpenSSL eingesetzt wird & welche Zertifikate müssten da geändert werden?
Systemseitig?!

Stimmt, werde auch demnächst Etch installieren.

MfG
Michael

 

[AhbadiE]

ich habe einen kleinen server4you vserver mit debian 3.1

mein problem: ich habe nicht wirklich ahnung von der consolengeschichte bzw. linux und mir reichen die webtools soweit eigentlich aus.

jetzt möchte ich aber nicht in die blöde lage kommen das mein vserver einer von den vielen noch unsicheren servern ist.

ich habe über die console nichts weiter am server verändert, es laufen lediglich ein paar webseiten welche ich über confixx eingerichtet habe.

was sollte ich jetzt machen um meinen server wirklich sicher zu gestalten? die infos die ich bis jetzt immer gefunden habe reichen mir leider nicht.

ich habe schon ein aptitude update ausgeführt. aptitude dist-upgrade eröffnet mir aber leider wieder zuviele einstellungsmöglichkeiten mit welchen ich nichts anfangen kann.

dowkd meldet keine schwachen schlüssel, aber ich würde dennoch gerne neue erstellen.

wie finde ich heraus ob das openssh jetzt aktualisiert wurde?

entschuldigt, viele fragen - aber ich möchte mich lieber jetzt damit ausseinander setzen als das ich nacher der blöde bin der ne gehackte warezschleuder stehen hat.

danke!

 

[TamCore]

@AhbadiE: "apt-get update" und "apt-get -y dist-upgrade" sollten eigentlich alle installierten Pakete aktuallisieren (sofern Updates vorhanden).
Und lies bitte nochmal die Nutzungsbedingungen insbesondere Punkt 3.2
Und noch nen Tipp von mir, lies dir mal http://debiananwenderhandbuch.de/ durch.

 

[AhbadiE]

Danke!
Ich bin auch schon auf
Ich habe einen Rootserver und keine Ahnung wie ich den Bedienen soll!
gestossen.

Ich denke ich habe noch ein paar lange Abende vor mir. Würde mich aber über unterstützung in diesem akuten Fall freuen.

Vielen Dank!