Muligens som et resultat av svakheten i Debians OpenSSL-bibliotek har et angrep på SSH-servere nå begynt å spre seg (CERT). Angrepet er ikke spesielt komplisert, det går ut på at man bruker en knekt SSH-nøkkel for å logge seg inn på maskinen, deretter utnytter en svakhet i Linux for å få root. Videre installeres et rootkit før et søk på maskinen prøver å finne frem til nye nøkler som kan brukes mot andre maskiner.
En oppdatert maskin (husk reboot) vil være vesentlig mindre sårbar, så lenge eventuelle root nøkler er godt beskyttet. Ikke minst minner dette en på at det er en dårlig ide å lagre nøklene uten passordbeskyttelse. Dette er også en god anledning til å stramme opp firewall-reglene.
Har du mange brukere med SSH-nøkler, og disse også har gode passord, kan du eventuelt slå av SSH-nøkler i en periode.
axentrix 31. august 2008 - 10:22
Hvilken svakhet snakker vi om her egentlig?
ak 31. august 2008 - 18:03
Har ikke sett at noen har spesifisert dette, muligens
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-2812
eller
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2008-3247
men jeg tror det ofte dreier seg om eldre svakheter, spesielt ksplice er så enkel å utnytte at den sikkert testes.