Userbase

Users United
https://userbase.be/forum/

Openssl - questions

https://userbase.be/forum/viewtopic.php?t=48435

Pagina 1 van 1

Openssl - questions

Geplaatst: 26 sep 2016, 16:36
door Robert Ford
Beste UB'ers,

Ik heb een VPS waarop ik af en toe via SSH op inlog, gewoon username + paswoord, geen keys. Ik draai de ssh server niet op de standaard poort en heb geen fail2ban etc.

Wat ik me nu afvraag:

De server draait Debian 8

Linux vps 2.6.32-042stab104.1 #1 SMP Thu Jan 29 12:58:41 MSK 2015 x86_64 GNU/Linux

Als ik alle packages upgrade is mijn openssl versie de volgende:

Setting up openssl (1.0.1t-1+deb8u5) ...
root@vps:~# openssl version
OpenSSL 1.0.1t 3 May 2016


Wat ik mij nu afvraag:

- Zorgen kwetsbaarheden in Openssl ervoor dat mijn ssh server kwetsbaar is voor aanvallen op die poort?
- Hoe komt het dat mijn versie niet up-to-date is? Ligt dit aan het feit dat er nog geen package uit is voor Debian?

Op deze link spreekt men over 2 verschillende openssl versies nl. 1.1.0b of 1.0.2j. Aangezien ik geen van beide heb maak ik me (misschien onterecht ) wat zorgen..

https://www.security.nl/posting/486757/ ... in+OpenSSL



Dan last but not least, kan ik geen versie van Openssl installeren via de github pagina om altijd up-to-date te zijn?


Misschien haal ik openssl en openssh wat door mekaar maar ik heb dringend nood aan wat verduidelijking :)

Re: Openssl - questions

Geplaatst: 26 sep 2016, 16:54
door CCatalyst
Niet zozeer voor kwetsbaarheden bij aanvallen op de poort, dat is het sshd(8) gedeelte, wel kwetsbaarheden bij de versleutelde gegevens, want daarvoor gebruikt sshd(8) de OpenSSL lib. Het kan dus zijn dat iemand jouw data kan onderscheppen en die kan decrypten op basis van een vulnerability. Maar vulnerabilities in OpenSSL gaan er niet rechtstreeks voor zorgen dat iemand onbevoegd in je systeem kan, natuurlijk als ze op basis van een vulnerability je paswoord kunnen ontfutselen raken ze vlotjes binnen.

Andere vraag kan ik niet op antwoorden. Zelf ben ik geen fan van OpenSSL wegens de vele vulnerabilities met regelmaat. Ik gebruik LibreSSL.

Re: Openssl - questions

Geplaatst: 26 sep 2016, 17:26
door xming
sardonis schreef:Beste UB'ers,
- Zorgen kwetsbaarheden in Openssl ervoor dat mijn ssh server kwetsbaar is voor aanvallen op die poort?
- Hoe komt het dat mijn versie niet up-to-date is? Ligt dit aan het feit dat er nog geen package uit is voor Debian?
1. is mogelijk cfr. https://www.cr0.org/progs/sshfun/
2. er zijn 3 branches die onderhouden worden 1.0.1, 1.0.2 en 1.1.0 (https://en.wikipedia.org/wiki/OpenSSL)
1.0.1u is de meeste recente versie, Debian loopt dus eentje achter (ofwel heeft men gebackport)

Conclusie, geen paniek, althans tot 't einde v/h jaar dan is 1.0.1 EOL en gezien hoe Debian omging met openssl (http://research.swtch.com/openssl), zal ik persoonlijk toch een 1.1.0x of libressl verkiezen.
Alle tijden zijn UTC+02:00
Pagina 1 van 1

Powered by phpBB® Forum Software © phpBB Limited

Nederlandse vertaling door phpBB.nl.