Beste UB'ers,
Ik heb een VPS waarop ik af en toe via SSH op inlog, gewoon username + paswoord, geen keys. Ik draai de ssh server niet op de standaard poort en heb geen fail2ban etc.
Wat ik me nu afvraag:
De server draait Debian 8
Linux vps 2.6.32-042stab104.1 #1 SMP Thu Jan 29 12:58:41 MSK 2015 x86_64 GNU/Linux
Als ik alle packages upgrade is mijn openssl versie de volgende:
Setting up openssl (1.0.1t-1+deb8u5) ...
root@vps:~# openssl version
OpenSSL 1.0.1t 3 May 2016
Wat ik mij nu afvraag:
- Zorgen kwetsbaarheden in Openssl ervoor dat mijn ssh server kwetsbaar is voor aanvallen op die poort?
- Hoe komt het dat mijn versie niet up-to-date is? Ligt dit aan het feit dat er nog geen package uit is voor Debian?
Op deze link spreekt men over 2 verschillende openssl versies nl. 1.1.0b of 1.0.2j. Aangezien ik geen van beide heb maak ik me (misschien onterecht ) wat zorgen..
https://www.security.nl/posting/486757/ ... in+OpenSSL
Dan last but not least, kan ik geen versie van Openssl installeren via de github pagina om altijd up-to-date te zijn?
Misschien haal ik openssl en openssh wat door mekaar maar ik heb dringend nood aan wat verduidelijking
Openssl - questions
-
- Elite Poster
- Berichten: 1515
- Lid geworden op: 12 nov 2005, 18:54
- Uitgedeelde bedankjes: 102 keer
- Bedankt: 101 keer
-
- Elite Poster
- Berichten: 8271
- Lid geworden op: 20 jun 2016, 18:36
- Uitgedeelde bedankjes: 19 keer
- Bedankt: 526 keer
- Recent bedankt: 12 keer
Niet zozeer voor kwetsbaarheden bij aanvallen op de poort, dat is het sshd(8) gedeelte, wel kwetsbaarheden bij de versleutelde gegevens, want daarvoor gebruikt sshd(8) de OpenSSL lib. Het kan dus zijn dat iemand jouw data kan onderscheppen en die kan decrypten op basis van een vulnerability. Maar vulnerabilities in OpenSSL gaan er niet rechtstreeks voor zorgen dat iemand onbevoegd in je systeem kan, natuurlijk als ze op basis van een vulnerability je paswoord kunnen ontfutselen raken ze vlotjes binnen.
Andere vraag kan ik niet op antwoorden. Zelf ben ik geen fan van OpenSSL wegens de vele vulnerabilities met regelmaat. Ik gebruik LibreSSL.
Andere vraag kan ik niet op antwoorden. Zelf ben ik geen fan van OpenSSL wegens de vele vulnerabilities met regelmaat. Ik gebruik LibreSSL.
- xming
- Pro Member
- Berichten: 434
- Lid geworden op: 06 okt 2005, 10:35
- Uitgedeelde bedankjes: 9 keer
- Bedankt: 47 keer
1. is mogelijk cfr. https://www.cr0.org/progs/sshfun/sardonis schreef:Beste UB'ers,
- Zorgen kwetsbaarheden in Openssl ervoor dat mijn ssh server kwetsbaar is voor aanvallen op die poort?
- Hoe komt het dat mijn versie niet up-to-date is? Ligt dit aan het feit dat er nog geen package uit is voor Debian?
2. er zijn 3 branches die onderhouden worden 1.0.1, 1.0.2 en 1.1.0 (https://en.wikipedia.org/wiki/OpenSSL)
1.0.1u is de meeste recente versie, Debian loopt dus eentje achter (ofwel heeft men gebackport)
Conclusie, geen paniek, althans tot 't einde v/h jaar dan is 1.0.1 EOL en gezien hoe Debian omging met openssl (http://research.swtch.com/openssl), zal ik persoonlijk toch een 1.1.0x of libressl verkiezen.