Openssl - questions

Windows, Android, iOS, Linux, Chrome OS, ...
Plaats reactie
Robert Ford
Elite Poster
Elite Poster
Berichten: 1515
Lid geworden op: 12 nov 2005, 18:54
Uitgedeelde bedankjes: 102 keer
Bedankt: 101 keer

Beste UB'ers,

Ik heb een VPS waarop ik af en toe via SSH op inlog, gewoon username + paswoord, geen keys. Ik draai de ssh server niet op de standaard poort en heb geen fail2ban etc.

Wat ik me nu afvraag:

De server draait Debian 8

Linux vps 2.6.32-042stab104.1 #1 SMP Thu Jan 29 12:58:41 MSK 2015 x86_64 GNU/Linux

Als ik alle packages upgrade is mijn openssl versie de volgende:

Setting up openssl (1.0.1t-1+deb8u5) ...
root@vps:~# openssl version
OpenSSL 1.0.1t 3 May 2016


Wat ik mij nu afvraag:

- Zorgen kwetsbaarheden in Openssl ervoor dat mijn ssh server kwetsbaar is voor aanvallen op die poort?
- Hoe komt het dat mijn versie niet up-to-date is? Ligt dit aan het feit dat er nog geen package uit is voor Debian?

Op deze link spreekt men over 2 verschillende openssl versies nl. 1.1.0b of 1.0.2j. Aangezien ik geen van beide heb maak ik me (misschien onterecht ) wat zorgen..

https://www.security.nl/posting/486757/ ... in+OpenSSL



Dan last but not least, kan ik geen versie van Openssl installeren via de github pagina om altijd up-to-date te zijn?


Misschien haal ik openssl en openssh wat door mekaar maar ik heb dringend nood aan wat verduidelijking :)
CCatalyst
Elite Poster
Elite Poster
Berichten: 8271
Lid geworden op: 20 jun 2016, 18:36
Uitgedeelde bedankjes: 19 keer
Bedankt: 526 keer
Recent bedankt: 12 keer

Niet zozeer voor kwetsbaarheden bij aanvallen op de poort, dat is het sshd(8) gedeelte, wel kwetsbaarheden bij de versleutelde gegevens, want daarvoor gebruikt sshd(8) de OpenSSL lib. Het kan dus zijn dat iemand jouw data kan onderscheppen en die kan decrypten op basis van een vulnerability. Maar vulnerabilities in OpenSSL gaan er niet rechtstreeks voor zorgen dat iemand onbevoegd in je systeem kan, natuurlijk als ze op basis van een vulnerability je paswoord kunnen ontfutselen raken ze vlotjes binnen.

Andere vraag kan ik niet op antwoorden. Zelf ben ik geen fan van OpenSSL wegens de vele vulnerabilities met regelmaat. Ik gebruik LibreSSL.
Gebruikersavatar
xming
Pro Member
Pro Member
Berichten: 434
Lid geworden op: 06 okt 2005, 10:35
Uitgedeelde bedankjes: 9 keer
Bedankt: 47 keer

sardonis schreef:Beste UB'ers,
- Zorgen kwetsbaarheden in Openssl ervoor dat mijn ssh server kwetsbaar is voor aanvallen op die poort?
- Hoe komt het dat mijn versie niet up-to-date is? Ligt dit aan het feit dat er nog geen package uit is voor Debian?
1. is mogelijk cfr. https://www.cr0.org/progs/sshfun/
2. er zijn 3 branches die onderhouden worden 1.0.1, 1.0.2 en 1.1.0 (https://en.wikipedia.org/wiki/OpenSSL)
1.0.1u is de meeste recente versie, Debian loopt dus eentje achter (ofwel heeft men gebackport)

Conclusie, geen paniek, althans tot 't einde v/h jaar dan is 1.0.1 EOL en gezien hoe Debian omging met openssl (http://research.swtch.com/openssl), zal ik persoonlijk toch een 1.1.0x of libressl verkiezen.
Plaats reactie

Terug naar “Software en apps”