[Linuxtrent] Re: Openssl in Debian e derivate!

• From: "Roberto Resoli" <roberto.resoli@xxxxxxxxx>
• To: linuxtrent@xxxxxxxxxxxxx
• Date: Thu, 15 May 2008 09:54:05 +0200

2008/5/15 Emanuele Olivetti <emanuele@xxxxxxxxxxxxxx>:
> Roberto Resoli wrote:
>> 2008/5/15 Marco Ciampa <ciampix@xxxxxxxxx>:
>>> ...
>>>
>>> Ottengo:
>>> Not blacklisted: 2048 ************ /etc/ssh/ssh_host_rsa_key.pub
>>> Not blacklisted: 1024 ************ /etc/ssh/ssh_host_dsa_key.pub
>>> Unknown (no blacklist information): 2048 ********* root@ciampix
>>>
>>> le prime due vabbé mi pare di aver capito (non sono sicuro al 100%) ma la 
>>> terza?
>>> Che vuol dire? Dov'è?
>>
>> hai ragione, dovrebbero indicare da dove viene quella chiave. Ti tocca
>> andare a manina ed esplorare uno per uno i files candidati, guidato
>> dal man di ssh-vulnkey. Però mi sento di scusare la mancanza, devono
>> aver fatto sta cosa in fretta e furia ...
>>
>> ciao,
>> rob
>
>
> Da root esegui "ssh-vulnkey -a". Vegono esplorati tutti i file interessati
> (id_dsa*, id_rsa*, authorized_keys ecc.) di tutti gli utenti. Una
> limitazione
> che ho trovato e' che nel caso di authorized_keys non viene indicata
> la riga incriminata ma solo la fingerprint.

ah perfetto. in effetti era l'unica soluzione.

consiglio anche un

ssh-vulnkey ./ssh/known host

tanto per vedere quanti hosts a cui ci si collega abitualmente si
presentano con chiavi compromesse.

 Il "Debian/OpenSSL Weak Key
> Detector"
> dowkd.pl [*] e' un po' piu' prolisso e ti fornisce anche questa
> informazione:
> "./dowkd.pl user".

ah ottimo.

> Ho dovuto aggiornare molte chiavi. L'unica vera scomodita' e' stato
> propagarle
> a tutti gli host su cui erano autorizzate. Non mi sarebbe dispiaciuto un
> tool
> un po' piu' complesso che (a scelta) faceva anche questo passo. Mi pare che
> le informazioni ci siano per fare tutto cio'.

vedremo poi fra qualche giorno quanto questo problema sia grave,
 cioè quanto sia praticamente sfruttabile la vulnerabilità.
ciao,
rob

> Ciao,
>
> Emanuele
>
> [*] http://security.debian.org/project/extra/dowkd/
>
> --
> Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
> "subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx
>
>
>
--
Per iscriversi  (o disiscriversi), basta spedire un  messaggio con OGGETTO
"subscribe" (o "unsubscribe") a mailto:linuxtrent-request@xxxxxxxxxxxxx

• References:
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Giuseppe Briotti
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Lele Gaifax
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Marco Ciampa
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Marco Ciampa
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Daniele Nicolodi
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Marco Ciampa
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Roberto Resoli
  • [Linuxtrent] Re: Openssl in Debian e derivate!
    • From: Emanuele Olivetti

Other related posts:

• » [Linuxtrent] Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!
• » [Linuxtrent] Re: Openssl in Debian e derivate!

1. Home
2. linuxtrent
3. Archive
4. 05-2008

---

• » Previous by Date
• » Next by Date
• » Related Posts
• » View list details
• » Manage your subscription

---