Sicherheitsproblem mit OpenSSH, neuere Version für OE2.5/DM820HD

  • Sicherheitsproblem mit OpenSSH, neuere Version für OE2.5/DM820HD

    Hallo zusammen,

    ich hoffe ich bin hier an der richtigen Stelle.

    Ich habe nun seit einiger Zeit Probleme mit der installierten OpenSSH-Version (aus dem Jahr 2016) auf meiner DM820HD.

    Die installierte Version 7.1p2 ist leider zu alt um Verbindungen mit Clients ab der Version 8.2 aufbauen zu können. Grund ist die "deprecation of ssh-rsa via SHA-1". Hier geht es um ein Sicherheitsrisikio in Bezug auf den SHA-1 Algorithmus.

    Die Version 7.2 (welche nur einen Monat jünger ist) unterstützen hier bereits modernere Varianten (SHA-2/256 z.B.) - alle neueren natürlich auch.

    Problem ist:
    * "auf der einen Seite" läuft ein unsicherer Dienst auf meiner Box
    * "auf der anderen Seite" können sich Clients ab Version 8.2 nun nicht mehr verbinden, da der Dienst keinen aktuellen Algorithmus unterstützt und die Clients die alten unsicheren "abgeklemmt" haben.

    Ein anheben der Software auf mindestens 7.2 würde das Problem direkt lösen.

    Besser vielleicht noch etwas neuer wenn man schon "hinfasst", denn 7.2 gibt's ja auch schon Anfang 2016.


    Gibt es eine Chance, dass dies von jemanden erledigt werden könnte?



    Hintergrund-Info:
    Wer keine PublicKey/PrivateKey-basierte Authentisierung nutzt, sondern Username/Passwort beispielsweise, kennt das Problem potentiell nicht, aber es ist da ;)

  • da wird von DMM wohl nichs mehr kommen, zudem läuft im OE2.5 dropbear SSH und nicht open SSH

    solution / workaround in host key type "ssh-rsa"
    Gruß Fred

    Die Dreambox ist tot, es lebe die Dreambox

    ¯\_(ツ)_/¯

    Quellcode

    1. root@dm920:~$ mount | grep "/ "
    2. /dev/mmcblk1p1 on / type ext4 (rw,relatime,data=ordered)
    3. root@dm920:~$

    Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von Fred Bogus Trumper ()

  • Fred Bogus Trumper schrieb:

    [...]zudem läuft im OE2.5 dropbear SSH und nicht open SSH[...]
    naja: feed.newnigma2.to/daily/oe2.5/…shd_7.1p2-r0.0_mipsel.deb


    Aber gut wenn es kein absehbare Möglichkeit eines Sicherheits-Updates gibt, schade (und schwach).

    Der vorgeschlagene Workaround ist für mich zumindest inakzeptabel, da er ja beinhaltet ein Sicherheitsproblem explizit wieder zu erlauben - daher ein absolutes no-go.

    Bleibt doch nur der "saure Apfel" und ein nicht-RSA-Verfahren für die ssh-id aufzusetzen.

  • bin mir nach 2 Wochen Bedenkzeit immer noch nicht sicher ob das ein Trollversuch ist - dem entgegen steht der Titel "Super Moderator", aber rein inhaltlich... wirkt wie "Hauptsache jemanden belehrt" was ich nicht von einem Moderator erwartet hätte.

    Ich habe sachlich auf ein Problem hingewiesen, habe sachlich einen Workaround angeboten bekommen, und habe mich auch selbst um einen sicherheitstechnisch guten Workaround (wechsel des Schlüsselverfahrens) gekümmert, der halt leider unnötigen Aufwand produziert, aber durchaus machbar ist.

    Ein Lösung des eigentlichen Problems ist an sich eher einfach, aber liegt wohl nicht in unserer Hand hier Einfluss zu nehmen. Schade, und schwach seitens DMM, denn so werden an verschiedensten Stellen Workarounds umgesetzt die sicherheitstechnisch kritisch sind.

    Ein "dann machs doch einfach nicht und mach irgendwas anderes" ist weder ein produktiver Vorschlag für mich, noch ist er eine Bereicherung für jemanden der diesen Thread ließt. Ein VPN ist auch keine Alternative zu einer "remote shell", keine Ahnung was du damit anregen wolltest.

    Und weil ich schlicht nicht stehen lassen kann, es ist nicht die logische Konsequenz, das zu beurteilen bist du auch gar nicht in der Lage.

  • Sicherheitsproblem mit OpenSSH, neuere Version für OE2.5/DM820HD

    Nachtrag zu Sicherheitsproblem mit OpenSSH, neuere Version für OE2.5/DM820HD zum mergen

    rumnörgeln wird daran auch nichts ändern das OE2.5 EOL ist. Entweder man sucht Lösungen oder lebt mit den Tatsachen


    Man kann auch z.B. einen Raspberry Pi mit aktuellem OpenSSH vorschalten und den als ssh Jumpserver missbrauchen - wenn man unbedingt von extern auf einen "unsichereren" SSH Server im Heimnetz will. Auf diesem Weg ist dann nur die Verbindung im Heimnetz "unsicher", die unsichere RSA/SHA1 Verbindung wird dann aber im www über den Jumpserver mit SHA2 "getunnelt"


    Konfigurationsbeispiele findet man mit dem Suchbegriff "ssh jumpserver" in der Suchmaschine seiner Wahl
    Gruß Fred

    Die Dreambox ist tot, es lebe die Dreambox

    ¯\_(ツ)_/¯

    Quellcode

    1. root@dm920:~$ mount | grep "/ "
    2. /dev/mmcblk1p1 on / type ext4 (rw,relatime,data=ordered)
    3. root@dm920:~$

  • Das zusätzliche Problem der steinalten Dropbear Version im Image ist, dass sie mit aktuellen OpenSSH Versionen nicht mehr kompatibel ist, da SHA1 für die Signatur genutzt wird. Man kann sich also auch nicht mehr mit User/Passwort auf die Box per SSH verbinden.

  • Jein. Will mich gar nicht von außen auf die Box verbinden. Ich kann mich mit MacOS Ventura nicht mehr per SSH und Benutzer/Passwort auf die Box verbinden, weil der der Dropbear SHA1 für den Hostkey verwendet und OpenSSH deshalb keine Verbindung mehr aufbaut.

  • @damien_sorin

    Nur der Vollständigkeit halber, denn ich war so blauäugig dich als versierten User zu bewerten, und habe mich eher karg ausgedrückt,
    was wohl zum leichten Missverständnis geführt hat, dafür entschuldige ich mich.

    "Man" hätte ja auch freundlich(!) nachfragen können, Möglichkeiten bestehen dass man sich "verliest", in seiner Hektik tatsächlich
    zu schnell über die Ausführungen geht und damit falsch deutet oder oder oder, denn du kannst den/die ggü. noch weniger beurteilen,
    zumindest nicht in der knappen Kommunikation.

    Worauf ich als Workaround (wohl zu kurz ausgeführt) gepointet habe, ist A ssh Port abdrehen (--> Antwort auf "Sicherheitsproblem lösen"), via VPN auf das lokale Netz zugreifen, RSA/SHA1 an einem "Proxy mit aktuellen OpneSSH - welchen du natürlich vorher definierst und aufbaust/konfigurierst - explizit für ein Host(dm800hd) erlauben, und über genau jenen die Verbindung zur "unsicheren Büchse" (getunnelt) aufbauen; wenn du schon "Basic Auth" zuvor schon explizit ausschliesst natürlich.

    Fakt: Ein aktuelles OpenSSH auf diesen Boxen zu integrieren erfordert viel Aufwand, welchen sich DP und auch womöglich diejenigen, die sowas hier könnten, einfach sparen,
    denn siehe mein Kommentar oben + damit noch EOL. Oder du nimmst das selbst in die Hand, das steht dir natürlich immer frei.

    Fakt2: VPN mit ssh und "Basic Auth" ist auch eine sichere Alternative.

    Fakt3: Wenn ich belehre sieht das anders aus, kann ich bei bestem Willen nicht erkennen. Es ist nun mal so, dass die Lösungen eher Workarounds sind - aber das sollte dir bereits nach dem Posting von Fred Bogus Trumper klar geworden sein - allerdings gangbare, welche der Sicherheit keinen Abbruch tun!

    Fakt4: Es sind immer noch Receiver, und dazu noch EOL. Sorry, damit wäre die logische Konsequenz, DP zu unterstützen und sich eine neue Box zu kaufen, somit mein Fehler.

    JM1870C ;)

    EDIT: Themen zusammengefügt.
    "Wer ins Wasser sieht, sieht den Himmel auf Erden"