Identische SSH-Schlüssel auf Hetzner-Servern
Aufgrund identischer SSH-Schlüssel können Angreifer verschlüsselte Verbindungen von Servern von Hetzner belauschen.
(Bild: dpa, Jens Wolf/Symbolbild)
Seit dem 10. April 2015 wurden aufgrund eines Fehlers die Ed25519 SSH Host-Keys bei der Installation verschiedener Betriebssystem-Images von Hetzner nicht neu generiert, warnt der Webhosting-Anbieter. Das führt dazu, dass auf Servern, die auf ein Image des Anbieters aufbauen, identische SSH-Schlüssel zum Einsatz kommen. Angreifer könnten so in einer Man-in-the-Middle-Position Verbindungen aufbrechen, um diese zu belauschen und zu manipulieren.
Innerhalb des Hetzner-Netzwerks soll ein derartiger Übergriff eher unwahrscheinlich sein. Der Webhosting-Anbieter rät betroffenen Nutzern die Ed25519 SSH Host-Keys (/etc/ssh/ssh_host_ed25519_key) zu ersetzen. Dafür reiche der Befehl ssh-keygen aus; weitere Infos zur Vorgehensweise finden sich im Wiki von Hetzner. DSA-, ECDSA- und RSA-Schlüssel sind davon nicht betroffen und werden stets individuell erzeugt, versichert der Webhosting-Anbieter.
Eigenen Server prüfen
Im Wiki können Nutzer zudem die betroffenen Betriebssystem-Versionen und die Fingerprints der mehrfach genutzten SSH-Schlüssel einsehen. Der freie Journalist Hanno Böck stellt ein Skript zur Verfügung, mit dem Nutzer ihre Server nach den betroffenen SSH-Schlüsseln durchsuchen können. (des)
