Hetzner Serverinhaber aufgepasst - Sicherheitsproblem -> handeln erforderlich


#1

Sollte der Server im Zeitraum 10.04.2015 bis 29.12.2015 installiert worden sein, so muss ein Host-Key ausgetauscht werden.

Sehr geehrte Damen und Herren,

wir wenden uns heute an Sie, um auf ein mögliches Sicherheitsrisiko im
SSH-Dienst der folgenden angemieteten Server hinzuweisen:

SB37 (144.76.30.226)

SSH-Server verwenden Host-Keys, um sich Benutzern gegenüber eindeutig zu
identifizieren. Diese Keys werden normalerweise bei jeder Installation
eines Betriebssystems neu generiert.

Aufgrund eines Fehlers innerhalb einer Installationsroutine wurden seit
dem 10. April 2015 bei der Installation unserer Betriebssystem-Images die
Ed25519 SSH Host-Keys (/etc/ssh/ssh_host_ed25519_key) nicht mehr individuell
neu generiert.

Resultierend daraus verwenden betroffene Installationen einen einheitlichen
und Betriebssystem-Image-spezifischen Ed25519 SSH Host-Key.

Dieser Umstand könnte gegebenenfalls ausgenutzt werden, um mittels eines
Man-in-the-Middle-Angriffs SSH-Kommunikation zu entschlüsseln bzw.
zu manipulieren.

Aufgrund unseres Netzwerksetups ist ein Man-in-the-Middle-Angriff
innerhalb unseres Netzwerks eher unwahrscheinlich, da jeder Server nur
direkt mit dem jeweiligen Router kommunizieren kann.

Wir möchten Sie dennoch bitten, zeitnah die Ed25519 SSH Host-Keys Ihres
Servers zu ersetzen. Die weiteren Host-Keys (RSA, DSA, ECDSA) sind hiervon
nicht betroffen und sind individuell.

Eine Anleitung zum Austauschen der Host-Keys und weitere Informationen
haben wir in unserem DokuWiki unter
http://wiki.hetzner.de/index.php/Ed25519 hinterlegt.

An dieser Stelle möchten wir uns bei unserem Kunden Thomas Arendsen Hein,
Intevation GmbH bedanken. Er hat uns gestern Nachmittag auf die Problematik
aufmerksam gemacht. Der Fehler wurde umgehend behoben und Installationen
nach dem 29. Dezember 2015, 16:00 Uhr sind nicht mehr betroffen.

Bei Rückfragen stehen wir Ihnen gerne zur Verfügung. Bitte senden Sie
dazu eine Supportanfrage an ed25519@hetzner.de.

Vielen Dank für Ihr Verständnis.

Mit freundlichen Grüßen

Hetzner Online GmbH
Industriestr. 25
91710 Gunzenhausen
Tel: +49 9831 505-0
Fax: +49 9831 505-3
info@hetzner.de
www.hetzner.de

Registergericht Ansbach, HRB 6089
Geschäftsführer: Martin Hetzner

@MPW Wenn du Zeit hast, dann erledige das gerne für ffhost01. Falls nicht, dann machen wir das heute Abend.


#2

Es geht um einen Server, right?


#3

remue-Host ist erledigt.


#4

Das soll bis zum 29.12.2015 heißen oder?


#5

Ja. THX für den Hinweis