Weitere Hinweise zum UCS 2.0 Sicherheitsupdate 4

german
announcement

#1

Wir raten dazu, das vierte Sicherheits-Update möglichst zeitnah einzuspielen
und SSL- und SSH-Keys neu zu generieren, wenn diese mit UCS 2.0 generiert
wurden (insbesondere bei unter UCS 2.0 erzeugten authorized_keys für
SSH besteht dringender Handlungsbedarf).

Die ausschließliche Installation des Security-Updates ist nicht ausreichend,
da die bereits erzeugten Schlüssel dadurch nicht verändert werden!

UCS 1.3 ist nicht betroffen.

Nachfolgend finden sich auch Hinweise zur Aktualisierung von Keys in
weiteren Paketen neben OpenSSH und univention-ssl, die bereits im ersten
Advisory aufgeführt wurden:

[ul]
[li] Cyrus

Nachdem die Schlüssel in univention-ssl neu generiert wurden, müssen
sie noch manuell in das Cyrus-Verzeichnis kopiert werden:

cp /etc/univention/ssl/RECHNERNAME.DOMAENENNAME/cert.pem /var/lib/cyrus/
cp /etc/univention/ssl/RECHNERNAME.DOMAENENNAME/private.key /var/lib/cyrus/
chmod 600 /var/lib/cyrus/cert.pem /var/lib/cyrus/private.key
chown cyrus /var/lib/cyrus/cert.pem /var/lib/cyrus/private.key

[/li]
[li] OpenVPN

Die alten Schlüssel (/etc/openvpn/openvpn.secretkey.*) sollten
entfernt oder verschoben werden. Anschliessend müssen die Schlüssel neu
erzeugt werden:

openvpn --genkey --secret openvpn.secretkey.system1-system2

Hiernach müssen die Keys auf die übrigen Systeme kopiert werden und der
openvpn-Dienst neu gestartet werden:

/etc/init.d/openvpn restart

[/li]
[li] Postfix

Postfix verwendet die durch univention-ssl verwalteten Schlüssel. Wenn auf
einem System mit univention-ssl die Schlüssel neu erzeugt wurden, ist dies
ausreichend.

[/li]
[li] univention-ssh

Das univention-ssh-Tool zum sicheren Dateitransport verwendet ebenfalls die
durch univention-ssl verwalteten Zertifikate und muss nicht separat angepasst
werden.[/li][/ul]


#2

Wenn nach Einspielen des Updates bei einem SSH-Login die Fehlermeldung “No kex alg” erscheint, weist dies darauf hin, dass ein kompromittierter Host-Key den Start des SSHD verhindert. Mit “ssh-vulnkey” kann geprüft werden, ob solche Host-Keys auf dem System vorhanden sind.

Die Host-Keys können dann mit univention-openssh-recreate-host-keys neu erzeugt werden.


#3