Openssl - questions

Robert Ford
Elite Poster
Elite Poster
Berichten: 1161
Lid geworden op: 12 Nov 2005
Bedankt: 77 keer
Uitgedeelde bedankjes: 76 keer

Openssl - questions

Berichtdoor Robert Ford » 26 Sep 2016, 15:36

Beste UB'ers,

Ik heb een VPS waarop ik af en toe via SSH op inlog, gewoon username + paswoord, geen keys. Ik draai de ssh server niet op de standaard poort en heb geen fail2ban etc.

Wat ik me nu afvraag:

De server draait Debian 8

Linux vps 2.6.32-042stab104.1 #1 SMP Thu Jan 29 12:58:41 MSK 2015 x86_64 GNU/Linux

Als ik alle packages upgrade is mijn openssl versie de volgende:

Setting up openssl (1.0.1t-1+deb8u5) ...
root@vps:~# openssl version
OpenSSL 1.0.1t 3 May 2016


Wat ik mij nu afvraag:

- Zorgen kwetsbaarheden in Openssl ervoor dat mijn ssh server kwetsbaar is voor aanvallen op die poort?
- Hoe komt het dat mijn versie niet up-to-date is? Ligt dit aan het feit dat er nog geen package uit is voor Debian?

Op deze link spreekt men over 2 verschillende openssl versies nl. 1.1.0b of 1.0.2j. Aangezien ik geen van beide heb maak ik me (misschien onterecht ) wat zorgen..

https://www.security.nl/posting/486757/ ... in+OpenSSL



Dan last but not least, kan ik geen versie van Openssl installeren via de github pagina om altijd up-to-date te zijn?


Misschien haal ik openssl en openssh wat door mekaar maar ik heb dringend nood aan wat verduidelijking :)

CCatalyst
Elite Poster
Elite Poster
Berichten: 957
Lid geworden op: 20 Jun 2016
Bedankt: 87 keer
Recent bedankt: 1 keer

Re: Openssl - questions

Berichtdoor CCatalyst » 26 Sep 2016, 15:54

Niet zozeer voor kwetsbaarheden bij aanvallen op de poort, dat is het sshd(8) gedeelte, wel kwetsbaarheden bij de versleutelde gegevens, want daarvoor gebruikt sshd(8) de OpenSSL lib. Het kan dus zijn dat iemand jouw data kan onderscheppen en die kan decrypten op basis van een vulnerability. Maar vulnerabilities in OpenSSL gaan er niet rechtstreeks voor zorgen dat iemand onbevoegd in je systeem kan, natuurlijk als ze op basis van een vulnerability je paswoord kunnen ontfutselen raken ze vlotjes binnen.

Andere vraag kan ik niet op antwoorden. Zelf ben ik geen fan van OpenSSL wegens de vele vulnerabilities met regelmaat. Ik gebruik LibreSSL.

Gebruikersavatar
xming
Pro Member
Pro Member
Berichten: 430
Lid geworden op: 06 Okt 2005
Bedankt: 38 keer
Uitgedeelde bedankjes: 9 keer

Re: Openssl - questions

Berichtdoor xming » 26 Sep 2016, 16:26

sardonis schreef:Beste UB'ers,
- Zorgen kwetsbaarheden in Openssl ervoor dat mijn ssh server kwetsbaar is voor aanvallen op die poort?
- Hoe komt het dat mijn versie niet up-to-date is? Ligt dit aan het feit dat er nog geen package uit is voor Debian?

1. is mogelijk cfr. https://www.cr0.org/progs/sshfun/
2. er zijn 3 branches die onderhouden worden 1.0.1, 1.0.2 en 1.1.0 (https://en.wikipedia.org/wiki/OpenSSL)
1.0.1u is de meeste recente versie, Debian loopt dus eentje achter (ofwel heeft men gebackport)

Conclusie, geen paniek, althans tot 't einde v/h jaar dan is 1.0.1 EOL en gezien hoe Debian omging met openssl (http://research.swtch.com/openssl), zal ik persoonlijk toch een 1.1.0x of libressl verkiezen.


Terug naar “Non-Windows”

Wie is er online

Gebruikers op dit forum: Geen geregistreerde gebruikers en 2 gasten