Wir raten dazu, das vierte Sicherheits-Update möglichst zeitnah einzuspielen
und SSL- und SSH-Keys neu zu generieren, wenn diese mit UCS 2.0 generiert
wurden (insbesondere bei unter UCS 2.0 erzeugten authorized_keys für
SSH besteht dringender Handlungsbedarf).
Die ausschließliche Installation des Security-Updates ist nicht ausreichend,
da die bereits erzeugten Schlüssel dadurch nicht verändert werden!
UCS 1.3 ist nicht betroffen.
Nachfolgend finden sich auch Hinweise zur Aktualisierung von Keys in
weiteren Paketen neben OpenSSH und univention-ssl, die bereits im ersten
Advisory aufgeführt wurden:
[ul]
[li] Cyrus
Nachdem die Schlüssel in univention-ssl neu generiert wurden, müssen
sie noch manuell in das Cyrus-Verzeichnis kopiert werden:
cp /etc/univention/ssl/RECHNERNAME.DOMAENENNAME/cert.pem /var/lib/cyrus/
cp /etc/univention/ssl/RECHNERNAME.DOMAENENNAME/private.key /var/lib/cyrus/
chmod 600 /var/lib/cyrus/cert.pem /var/lib/cyrus/private.key
chown cyrus /var/lib/cyrus/cert.pem /var/lib/cyrus/private.key
[/li]
[li] OpenVPN
Die alten Schlüssel (/etc/openvpn/openvpn.secretkey.*) sollten
entfernt oder verschoben werden. Anschliessend müssen die Schlüssel neu
erzeugt werden:
openvpn --genkey --secret openvpn.secretkey.system1-system2
Hiernach müssen die Keys auf die übrigen Systeme kopiert werden und der
openvpn-Dienst neu gestartet werden:
/etc/init.d/openvpn restart
[/li]
[li] Postfix
Postfix verwendet die durch univention-ssl verwalteten Schlüssel. Wenn auf
einem System mit univention-ssl die Schlüssel neu erzeugt wurden, ist dies
ausreichend.
[/li]
[li] univention-ssh
Das univention-ssh-Tool zum sicheren Dateitransport verwendet ebenfalls die
durch univention-ssl verwalteten Zertifikate und muss nicht separat angepasst
werden.[/li][/ul]