[Heise] Tausende deutsche Server laden zum Einbruch ein

[Joe User]

http://www.heise.de/newsticker/meldung/108528

Und das, wo sich Debian-User doch immer sooo sicherheitsbewusst darstellen...

[chrisw]

naja, wie heißt es so schön... Deppen gibts überall :-)

Das es bei Strato nicht soviele sind, wie bei anderen Anbietern liegt wohl daran, das Kunden wie im Artikel erwähnt informiert wurden.

Sehr geehrte(r) *****************,

wir möchten Sie darüber informieren, dass das OpenSSL-Paket der Linux-Distribution Debian eine Schwachstelle aufweist. Diese ist durch einen Patch der Distribution entstanden und wirkt sich auf die erzeugten Zufallszahlenfolgen aus, was die erzeugten Schlüssel vorhersagbar macht.

Das Problem betrifft nur Debian und davon abgeleitete Distribution wie Ubuntu (ab Version 7.04) und Knoppix.
Haben Sie eine der betroffenen Distributionen installiert, so empfehlen wir Ihnen dringend eine Aktualisierung des Systems und den Austausch ggf. problematischer Schlüssel.

Zusätzliche Informationen und weiterführende Links finden Sie unter:
http://www.heise.de/security/news/meldung/107808
http://www.debian.org/security/
https://lists.ubuntu.com/archives/ubunt ... hread.html
http://wiki.debian.org/SSLkeys

Hinweis: Dies ist eine automatisch generierte E-Mail, auf die nicht direkt geantwortet werden kann.

Für weitere Fragen stehen wir Ihnen gerne unter 01805 - 076 077 (0,14 €/Min. aus dem Festnetz der dt. Telekom, abweichender Mobilfunktarif) bereit.

Freundliche Grüße aus Berlin wünscht Ihnen
Ihr STRATO Server Team.

Wenn ich es nicht vorher schon gewusst hätte, wären in dieser Email alle nötigen Infos drin gewesen. Und das find ich klasse :-)

[grollicus]

War es nicht sogar so, dass ein opensshd nach dem Update das mit dem Bugfix in openssl verteilt wurde die Keys gar nicht mehr annimmt? Dh. die Systeme haben nicht "nur" noch alte Keys, sondern sie sind seit dem Bekanntwerden der Lückt gar nicht mehr aktualisiert worden. Und das macht mir irgendwie eher Sorgen.. :-k

G.

[asse]

http://www.heise.de/newsticker/meldung/108528

Und das, wo sich Debian-User doch immer sooo sicherheitsbewusst darstellen...

Irgendwie hast du voll den Hass auf Debian... nur weil sich n paar Hanseln als "sooo sicherheitsbewusst" darstellen sind natürlich ALLE Debian-Nutzer böse! :(

[Joe User]

http://www.heise.de/newsticker/meldung/108528

Und das, wo sich Debian-User doch immer sooo sicherheitsbewusst darstellen...

Irgendwie hast du voll den Hass auf Debian...

Es ist kein Hass, lediglich eine Abneigung.

nur weil sich n paar Hanseln als "sooo sicherheitsbewusst" darstellen sind natürlich ALLE Debian-Nutzer böse! :(

Es sind ja nicht nur ein paar Debian-User, sondern die Mehrheit. Wenn man Debian-User nach Argumenten für Debian fragt, bekommt man fast immer zuerst "Debian hat den besten Paketmanager und die Pakete wurden ausgiebig getestet und sind somit stabil und sicher." zu hören. Das diese Argumentation nicht stimmt, sollte spätestens seit dem Debian-OpenSSL-Debakel auch bei den Debian-Usern angekommen sein -- sollte -- ist es aber nicht. Dieses Ignoranz-Phänomen trifft man in diesem Umfang bei keiner anderen Distribution, ausschliesslich bei Debian. Spricht man Debian-User darauf an, wird entweder umgehend das Thema gewechselt, oder man wird als unwissender "Debian-Hasser" bezeichnet...
Egal, gerechtfertigte Spitzen gegen Debian und andere Distributionen werde ich mir auch weiterhhin nicht verkneifen...

[daemotron]

Auch wenn ich Deine Abneigung gegen Debian teile, so denke ich doch, dass das Debakel zeigt, wie viele unfähige Server-"Administratoren" es in Dt'land gibt. Dass ein Paket kritische Sicherheitslücken aufweist, kommt bei jeder Distribution mal vor (warum gibt es wohl fast täglich 1-2 GLSAs? ) - zuletzt wurden der Linux-Kernel und auch OpenSSH 4.9 unfreiwillig zu prominenten Türöffnern, und das in (nahezu?) jeder Distribution.

Verwundbare Pakete sind also eigentlich etwas alltägliches. Man prüft, ob bereits Schäden entstanden sind und spielt dann ein Update/Patch/Fix ein - und gut. Offenbar nicht gut. Denn die aktuell etwas stärker in den Fokus geratene Lücke zeigt eines ganz deutlich: dieses Standard-Vorgehen wird scheinbar von vielen sträflich vernachlässigt. Hätten alle Debian-Admins gleich reagiert, gäbe es heute keine "Tausende deutsche Server", die "zum Einbruch einladen".

Debian und SUSE sind die in Deutschland am häufigsten eingesetzten Distributionen. Geht bei einer mal was schief, kommt es unweigerlich dazu, dass viele Systeme betroffen sind. Entscheidend ist IMHO nur, wie lange die Kisten ungesichert fröhlich weiter vor sich hindaddeln. Und dafür können die Debian-Entwickler (ausnahmsweise) nichts, denn einen Patch haben sie schließlich recht zeitnah bereitgestellt.

P. S. die Verteilung über die Provider würde ich v. a. auf die Standard-Images zurückführen. 1&1 und Strato bieten OpenSUSE als Standard-Images an (ihr wisst schon, SuSE mit Pest und so), während Hetzner und HostEurope schon bei der Bestellung des Servers das OS zur Wahl stellen, womit die OS-Landschaft bei den letztgenannten wesentlich inhomogener sein dürfte als bei den beiden anderen. Ich frage mich nur, um wie viele Zehnerpotenzen das Problem stiege, wäre OpenSUSE und nicht Debian betroffen gewesen... 8)

[asse]

http://www.heise.de/newsticker/meldung/108528

Und das, wo sich Debian-User doch immer sooo sicherheitsbewusst darstellen...

Irgendwie hast du voll den Hass auf Debian...

Es ist kein Hass, lediglich eine Abneigung.

nur weil sich n paar Hanseln als "sooo sicherheitsbewusst" darstellen sind natürlich ALLE Debian-Nutzer böse! :(

Es sind ja nicht nur ein paar Debian-User, sondern die Mehrheit. Wenn man Debian-User nach Argumenten für Debian fragt, bekommt man fast immer zuerst "Debian hat den besten Paketmanager und die Pakete wurden ausgiebig getestet und sind somit stabil und sicher." zu hören. Das diese Argumentation nicht stimmt, sollte spätestens seit dem Debian-OpenSSL-Debakel auch bei den Debian-Usern angekommen sein -- sollte -- ist es aber nicht. Dieses Ignoranz-Phänomen trifft man in diesem Umfang bei keiner anderen Distribution, ausschliesslich bei Debian. Spricht man Debian-User darauf an, wird entweder umgehend das Thema gewechselt, oder man wird als unwissender "Debian-Hasser" bezeichnet...
Egal, gerechtfertigte Spitzen gegen Debian und andere Distributionen werde ich mir auch weiterhhin nicht verkneifen...

Ich wollt dich ja nicht angreifen(und so nebenbei habe ich dich nicht als "unwissender" betitelt)! Ich find diesen "Distributions-Krieg" aber einfach nur affig. Jeder sollte das benutzen das er meint... Ich geb dir bei deinen Aussagen eigentlich soweit recht.. dieses Phänomen ist mir auch aufgefallen - aber eigentlich nur im Netz.

so denke ich doch, dass das Debakel zeigt, wie viele unfähige Server-"Administratoren" es in Dt'land gibt. Dass ein Paket kritische Sicherheitslücken aufweist, kommt bei jeder Distribution mal vor (warum gibt es wohl fast täglich 1-2 GLSAs? ) - zuletzt wurden der Linux-Kernel und auch OpenSSH 4.9 unfreiwillig zu prominenten Türöffnern, und das in (nahezu?) jeder Distribution.

Verwundbare Pakete sind also eigentlich etwas alltägliches. Man prüft, ob bereits Schäden entstanden sind und spielt dann ein Update/Patch/Fix ein - und gut. Offenbar nicht gut. Denn die aktuell etwas stärker in den Fokus geratene Lücke zeigt eines ganz deutlich: dieses Standard-Vorgehen wird scheinbar von vielen sträflich vernachlässigt. Hätten alle Debian-Admins gleich reagiert, gäbe es heute keine "Tausende deutsche Server", die "zum Einbruch einladen".

/signed



Gruß,


Asse

[Joe User]

Auch wenn ich Deine Abneigung gegen Debian teile, so denke ich doch, dass das Debakel zeigt, wie viele unfähige Server-"Administratoren" es in Dt'land gibt. Dass ein Paket kritische Sicherheitslücken aufweist, kommt bei jeder Distribution mal vor (warum gibt es wohl fast täglich 1-2 GLSAs? ) - zuletzt wurden der Linux-Kernel und auch OpenSSH 4.9 unfreiwillig zu prominenten Türöffnern, und das in (nahezu?) jeder Distribution.

Es geht hier nicht um die täglichen Upstream-Sicherheitslücken, sondern um die seltenen Downstream-Sicherheitslücken.
Am Debian-OpenSSL-Debakel sind primär neben einem 3rd-Party-Patch eines "vertrauenswürdigen" Debian-Maintainers auch die bei Debian offenbar schlechte oder gar fehlende Qualitätssicherung schuld. Wo war das von den Debian-Maintainern angeblich ständig durchgeführte Peer-Review und wenn der Patch wirklich nötig gewesen wäre, warum wurde er in den zwei Jahren weder von anderen Distributionen noch von Upstream übernommen?

Hätten alle Debian-Admins gleich reagiert, gäbe es heute keine "Tausende deutsche Server", die "zum Einbruch einladen".

Gilt nicht gerade unter Debian-Usern noch immer die goldene Regel "Never change a running system"? Blöd nur, wenn man nicht weiss wie es rennt...

Debian und SUSE sind die in Deutschland am häufigsten eingesetzten Distributionen. Geht bei einer mal was schief, kommt es unweigerlich dazu, dass viele Systeme betroffen sind. Entscheidend ist IMHO nur, wie lange die Kisten ungesichert fröhlich weiter vor sich hindaddeln.

ACK.

Und dafür können die Debian-Entwickler (ausnahmsweise) nichts, denn einen Patch haben sie schließlich recht zeitnah bereitgestellt.

Richtig, wobei der Patch für den Patch unnötig gewesen wäre, wenn der Debian-Maintainer kein Nichts gefixt und das Peer-Review funktioniert hätte.

P. S. die Verteilung über die Provider würde ich v. a. auf die Standard-Images zurückführen. 1&1 und Strato bieten OpenSUSE als Standard-Images an (ihr wisst schon, SuSE mit Pest und so), während Hetzner und HostEurope schon bei der Bestellung des Servers das OS zur Wahl stellen, womit die OS-Landschaft bei den letztgenannten wesentlich inhomogener sein dürfte als bei den beiden anderen. Ich frage mich nur, um wie viele Zehnerpotenzen das Problem stiege, wäre OpenSUSE und nicht Debian betroffen gewesen... 8)

Auch bei Strato lässt sich die Distribution während der Bestellung wählen ;)

[Joe User]

Ich wollt dich ja nicht angreifen(und so nebenbei habe ich dich nicht als "unwissender" betitelt)!

Das war auch nicht auf Dich bezogen, da habe ich mich misverständlich ausgedrückt, sorry.

Ich find diesen "Distributions-Krieg" aber einfach nur affig. Jeder sollte das benutzen das er meint...

FULLACK. Deshalb bewerte ich andere auch nicht an Hand ihrer Distribution(en), oder preise gar meine Distribution(en) als eierlegende Wollmilchsau an.

Ich geb dir bei deinen Aussagen eigentlich soweit recht.. dieses Phänomen ist mir auch aufgefallen - aber eigentlich nur im Netz.

Richtig, aber das Netz ist nunmal definitiv grösser als der Bekanntenkreis einer einzelnen Person und somit relevanter...

[silent85]

Was aber fakt ist das wenn es sagen wir 3000 offene Server gibt das min 2000 offen bleiben da die Admins der Server nicht wissen das sie Openssl überhaupt drauf haben, da ja "nur" Gameserver und TS installiert ist.

Meistens kümmert sich "kein schwein" um sowas, hauptsache die Gameserver laggen nicht.

[Roger Wilco]

Meistens kümmert sich "kein schwein" um sowas, hauptsache die Gameserver laggen nicht.

Richtig. Das Gute und gleichzeitig schlimmste an dieser Lücke ist aber, dass sich bspw. anhand des Hostkeys von SSH von außen problemlos prüfen lässt, ob der Server verwundbar ist oder nicht. Es ist kein Problem, das schnell in ein Skript zu packen und eine IP-Range abgrasen zu lassen. Das wird ja offensichtlich von der "Gegenseite" schon praktiziert.
Nun könnte jeder verantwortungsvolle ISP seine eigenen IP-Ranges genauso überprüfen und die betroffenen Kunden konkret informieren. Wäre kein reeller Aufwand aber ein Superservice für die unbedarften Kunden.

[Joe User]

Nun könnte jeder verantwortungsvolle ISP seine eigenen IP-Ranges genauso überprüfen und die betroffenen Kunden konkret informieren. Wäre kein reeller Aufwand aber ein Superservice für die unbedarften Kunden.

Wobei dieser Service nicht mehr in die Grauzonen des §202c und Co passt...

[Roger Wilco]

Wobei dieser Service nicht mehr in die Grauzonen des §202c und Co passt...

IANAL, aber war da nicht etwas von Vorbereitung zur Ausspähung von Daten als Vorbedingung für die Strafbarkeit?

EDIT: Einen ganz netten Onlinecheck, ob ein Server betroffen ist, gibts unter
http://serversniff.net/sslcert.php bzw. http://serversniff.net/sshreport.php

[Joe User]

Wobei dieser Service nicht mehr in die Grauzonen des §202c und Co passt...

IANAL, aber war da nicht etwas von Vorbereitung zur Ausspähung von Daten als Vorbedingung für die Strafbarkeit?

Es reicht bereits aus, wenn eines der benötigten Tools hierzu im Stande oder gar gedacht ist. Insbesondere da es sich hier zum Teil um gewerblich genutzte Systeme handelt.

[silent85]

Dann könnte er ja noch eine Newsletter an alle seine RootserverKunden schicken, das dürfte dann aber Legal sein.

[daemotron]

Sicherlich könnten die Provider den Kunden entgegenkommen - oder sie können konsequent sein, prüfen, wer jetzt noch nicht aktualisiert hat und die betroffenen Server fristlos kündigen (IANAL, aber bei einigen Providern würden die AGBs so ein Vorgehen hergeben). OK, ist vielleicht schlecht für's Geschäft, aber der (Online-) Welt hätten sie einen Gefallen erwiesen 8)

Auch bei Strato lässt sich die Distribution während der Bestellung wählen

Ah, neues Feature. Ist bei mir schon ein paar Jährchen her...

Gilt nicht gerade unter Debian-Usern noch immer die goldene Regel "Never change a running system"? Blöd nur, wenn man nicht weiss wie es rennt...

Oooch, da hab ich in der BSD-Welt auch schon krasse Sachen gesehen... von wegen Admins, die meinen, OpenBSD sei sicher, das müsse man nicht updaten oder gar upgraden (so'n lebensmüder Held, der immer noch OpenBSD 3.1-RELEASE als Bastion Host fährt :twisted: )

[Joe User]

Ein Newsletter, wie es Strato ja getan hat, ist selbstverständlich legal. Aber das Scannen der Systeme, wie es Heise-Security getan hat, ist je nach verwendeten Tools illegal, spätestens jedoch wenn ein gewerblich genutztes System ohne schriftliche Genehmigung des Betreibers gescannt wurde. IANAL, aber Heise-Security bewegt sich mit diesem Scan auf verdammt dünnem Eis...

[grollicus]

Ich hatte jetzt grade einen Fall von einem Server der wohl ein unsicheren Serverkey verwendet, wo sich aber nur per Passwortauthentifikation (also Benutzername/PW eingeben) angemeldet wird. Stellt ein schwacher Key dort ein Sicherheitsrisiko (!= Man In The Middle-Angriff - der dürfte einen Spielehoster herzlich wenig interessieren) dar?

[freddy36]

Ich hatte jetzt grade einen Fall von einem Server der wohl ein unsicheren Serverkey verwendet, wo sich aber nur per Passwortauthentifikation (also Benutzername/PW eingeben) angemeldet wird. Stellt ein schwacher Key dort ein Sicherheitsrisiko (!= Man In The Middle-Angriff - der dürfte einen Spielehoster herzlich wenig interessieren) dar?

Wie glaubst du wird das Passwort an den Server übertragen?

[grollicus]

Ja genau, so weit war ich dann auch schon gekommen.
O-Ton Serverbesitzer: "Naja. Der server hat 2 jahre damit überlebt, dann wird er jetzt die letzten 1 1/2 monate damit auch noch Überleben ^^"
Nach irgendwie ner halben Stunde Diskussion hab ichs aufgegeben, irgendwann ist man auch selbst schuld :roll:

[silent85]

Das wird sicher kein einzellfall sein, kann da auch noch sicher 5 ungesicherte Server von mehr oder weniger bekannten geben die einfach kein Bock, keine zeit oder einfach was besseres zu tun haben sich um ihren Server zu kümmern.