Hinweise zur Installation des Security-Updates:
[ul] [li]Das Einspielen von Security-Updates ist im aktuellen Handbuch im Abschnitt 9.2 - UCS Security Updates dokumentiert.[/li]
[li] Das Security-Update sollte mit dem folgenden Befehl auf den UCS Systemen installiert werden. univention-actualise --dist-upgrade
Im Kern entspricht das Vorgehen einem apt-get dist-upgrade. Die zusätzlichen Optionen stellen sicher, dass die Pakete mit den von Univention getesteten Vorgaben installiert werden.[/li][/ul]
[ul]
[li] OpenSSL (CVE-2008-0166)
Der von OpenSSL verwendete Zufallszahlengenerator verwendete unzureichende Zufallsquellen. Dadurch werden einige Schlüsseltypen häufiger erzeugt als andere, was Brute-Forcing-Attacken ermöglicht.
Dieser Fehler betrifft nur die OpenSSL-Version, die seit UCS 2.0 verwendet wird. Alle mit UCS 2.0 erzeugten x509-SSL-Zertifikate und SSH-Keys sollten neu erzeugt werden. Es ist zu beachten, das neben den manuell erzeugten Schlüsseln auch die automatisch erzeugten SSH-Hostkeys betroffen sind.
Die bloße Installation des Security-Updates ist nicht ausreichend, da die bereits erzeugten Schlüssel dadurch nicht verändert werden.
Für einige Pakete finden sich nachfolgend Instruktionen zur Aktualisierung der Schlüssel:
[list]
[*] OpenSSH
Mit UCS 2.0 erzeugte SSH-Hostkeys sollten neu erzeugt werden. Wenn nur die Standard-Dateipfade verwendet werden, so kann dazu das Tool univention-openssh-recreate-host-keys verwendet werden. Es ist zu
beachten, dass bei geänderten Hostkeys eine Warnmeldung bei SSH-Logins angezeigt wird, die auf eine Man-in-the-Middle-Attacke verweist. Da der Hostkey aktualisiert wurde, ist das in diesem Fall das gewünschte
Verhalten. Die Hash-Werte der bereits besuchten Hosts werden in der Datei .known_hosts im Home-Directory des Benutzers abgelegt und muss aus dieser entfernt werden. Mit dem Befehl
ssh-keygen -R HOSTNAME
kann ein Rechner aus der Datei entfernt werden.
Mit dem Befehl ssh-vulnkey könne die auf einem System verwendeten SSH-Keys gegen eine Liste betroffener Keys geprüft werden. Auch wenn die verwendeten Keys hier nicht aufgeführt sind, empfehlen wir in jedem Fall eine Aktualisierung der Schlüssel.
Wenn Host-basierte Authentifizierung verwendet wird, müssen die unter UCS 2.0 generierten Keys ebenfalls aktualisiert werden:
ssh-keygen
Anschliessend müssen die neu erzeugten Schlüssel auf die entfernten Systeme kopiert werden und dort die alten Keys entfernt werden.
[/li]
[li] univention-ssl
Die zur Verschlüsselung und Authentifizierung des LDAP-Verkehrs verwendeten SSL-Zertifikate müssen, wenn sie unter UCS 2.0 erzeugt wurden, neu erzeugt werden. Dies betrifft sowohl das Root-Zertifikat, als auch die einzelnen Rechner-Zertifikate. Die dazu nötigen Schritte sind im dem technischen Dokument über
SSL-Zertifikate beschrieben, das unter univention.de/fileadmin/down … cs-ssl.pdf
bezogen werden kann (Abschnitt 3.3 und 3.4)[/li][/ul][/*:m][/list:u]