Abo
  • Services:
Anzeige
Panne bei der Serverinstallation: Viele Hetzner-Server nutzen identische Ed25519-SSH-Keys.
Panne bei der Serverinstallation: Viele Hetzner-Server nutzen identische Ed25519-SSH-Keys. (Bild: Hetzner)

Ed25519: Mehrfach genutzte SSH-Keys auf Hetzner-Servern

Panne bei der Serverinstallation: Viele Hetzner-Server nutzen identische Ed25519-SSH-Keys.
Panne bei der Serverinstallation: Viele Hetzner-Server nutzen identische Ed25519-SSH-Keys. (Bild: Hetzner)

Auf den Installationsimages für Server der Firma Hetzner fanden sich für mehrere Monate vorinstallierte SSH-Keys. Die betroffenen Server sind somit für Man-in-the-Middle-Angriffe anfällig.

Kunden des Webhosters Hetzner, die im vergangenen Jahr einen Root-Server installiert haben, sollten ihre SSH-Keys prüfen. Wie Hetzner in seinem Wiki mitteilt, gab es einen Fehler in der Installationsroutine, der dazu führte, dass bei der Neuinstallation von Systemen ein SSH-Key mit dem Algorithmus Ed25519 vorinstalliert war. Das führt nun dazu, dass zahlreiche Systeme denselben Key verwenden - ein gravierendes Sicherheitsrisiko.

Anzeige

Laut Hetzner tritt das Problem seit dem 10. April 2015 auf. Entdeckt hat es Thomas Arendsen Hein von der Firma Intevation. Hein hatte beobachtet, dass zwei von ihm bestellte Server mit vorinstalliertem Debian Jessie denselben Host-Key für Ed25519 verwendeten. Anschließend fand er weitere Systeme mit demselben Problem.

Im Hetzner-Wiki sind die Fingerprints der jeweiligen Keys aufgeführt. Betroffen sind demnach verschiedene Versionen von CentOS, Debian, Opensuse und Ubuntu. Kunden, deren Server von dem Problem betroffen sind, hat Hetzner per Mail informiert.

Skript durchsucht System nach verwundbaren Keys

Wir haben ein Skript bereitgestellt, welches das System nach verwundbaren Keys durchsucht. Es prüft den systemweiten Host-Key und alle Keys, die sich in den known_hosts-Dateien befinden, also die Keys von Servern, mit denen sich ein Nutzer in der Vergangenheit verbunden hat.

Der Ed25519-Algorithmus wurde Anfang 2014 in OpenSSH aufgenommen. Es handelt sich um ein relativ neues Signaturverfahren, das auf der elliptischen Kurve Curve25519 basiert. Entwickelt wurde es von Dan Bernstein, Niels Duif, Tanja Lange, Peter Schwabe und Bo-Yin Yang. Offenbar war das Hetzner-Installationssystem auf die neuen Keys nicht eingestellt und hat diese von den Installationsimages nicht automatisch entfernt.

Nutzer, die einen der gemeinsamen SSH-Host-Keys verwenden, sind damit anfällig für Man-in-the-Middle-Angriffe. Hetzner schreibt, dass derartige Angriffe im eigenen Netz durch die Routingkonfiguration verhindert werden. Dennoch sind Angriffe natürlich durch Angreifer in anderen Netzen denkbar, etwa wenn sich ein Angreifer im selben WLAN-Netz befindet. Betroffene Nutzer sollten umgehend ihre Ed25519-Host-Keys austauschen, eine Anleitung dafür hat Hetzner bereitgestellt.


eye home zur Startseite
Robian 04. Jan 2016

Genau, deswegen habe ich ja auch nachgefragt. Experte!

43zsec 04. Jan 2016

Moin, meint Ihr eventuell im selben VLAN? Gruesse 43zsec

picaschaf 01. Jan 2016

ED25519 nutzt SHA256 zur Keyerzeugung, also schon in Ordnung. Aber wenn man schon aus...

Golressy 01. Jan 2016

Sowas war vor vielen Jahren auch bei meinem vserver in den Voreinstellungs-Images. Es...

Heinzel 01. Jan 2016

Ich benutze nie die Images vom Hoster. Ich installier das Zeug lieber selbst. Die Images...



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Essen
  2. über 3C - Career Consulting Company GmbH, Frankfurt am Main
  3. HiPP-Werk Georg Hipp OHG, Pfaffenhofen Raum Ingolstadt
  4. Zühlke Engineering GmbH, München, Hannover, Eschborn


Anzeige
Top-Angebote
  1. 34,99€
  2. 99,99€ für Prime-Mitglieder (Bestpreis!) - Lieferbar Ende Januar
  3. 89,90€ + 5,99€ Versand (Vergleichspreis 109,99€)

Folgen Sie uns
       


  1. Nintendo Labo

    Switch plus Pappe

  2. Apple

    Messages-App kann mit Nachricht zum Absturz gebracht werden

  3. Analog

    Kabelnetzkunden in falscher Sorge wegen DVB-T-Abschaltung

  4. Partnerprogramm

    Geld verdienen auf Youtube wird schwieriger

  5. Nur beratendes Gremium

    Bundestag setzt wieder Digitalausschuss ein

  6. Eclipse Foundation

    Erster EE4J-Code leitet Java-EE-Migration ein

  7. Breitbandmessung

    Provider halten versprochene Geschwindigkeit fast nie ein

  8. Virtualisierung

    Linux-Gasttreiber für Virtualbox bekommt Mainline-Support

  9. DJI Copilot von Lacie

    Festplatte kopiert SD-Karten ohne separaten Rechner

  10. Swift 5

    Acers dünnes Notebook kommt ab 1.000 Euro in den Handel



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Star Citizen Alpha 3.0 angespielt: Es wird immer schwieriger, sich auszuloggen
Star Citizen Alpha 3.0 angespielt
Es wird immer schwieriger, sich auszuloggen
  1. Cloud Imperium Games Star Citizen bekommt erst Polituren und dann Reparaturen
  2. Star Citizen Reaktionen auf Gameplay und Bildraten von Alpha 3.0
  3. Squadron 42 Mark Hamill fliegt mit 16 GByte RAM und SSD

Snet in Kuba: Ein Internet mit Billigroutern und ohne Porno
Snet in Kuba
Ein Internet mit Billigroutern und ohne Porno
  1. Boeing und SpaceX Experten warnen vor Sicherheitsmängeln bei Raumfähren
  2. Ericsson Datenvolumen am Smartphone wird nicht ausgenutzt
  3. FTTC Weitere 358.000 Haushalte bekommen Vectoring der Telekom

Vorschau Kinofilme 2018: Lara, Han und Player One
Vorschau Kinofilme 2018
Lara, Han und Player One
  1. Kinofilme 2017 Rückkehr der Replikanten und Triumph der Nasa-Frauen
  2. Star Wars - Die letzten Jedi Viel Luke und zu viel Unfug

  1. Re: Kein Backup? Kein Mitleid!

    AntiiHeld | 04:04

  2. Re: Sieht interessant aus

    SanderK | 03:36

  3. Re: Videos von brennenden und sterbenden Menschen...

    SanderK | 03:30

  4. Re: Chile schlechtes Internet (Clickbait)

    SanderK | 03:20

  5. Re: Link

    xeneo23 | 02:41


  1. 00:02

  2. 19:25

  3. 19:18

  4. 18:34

  5. 17:20

  6. 15:46

  7. 15:30

  8. 15:09


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel