{
"$type": "site.standard.document",
"bskyPostRef": {
"cid": "bafyreiamsygwk7vrrgtxxjf7gf7gop6pfjz5mvj6vyyze2cl7av74ldao4",
"uri": "at://did:plc:nkxz2ojdvmieg2nhphvputvp/app.bsky.feed.post/3mmemntx7wju2"
},
"coverImage": {
"$type": "blob",
"ref": {
"$link": "bafkreie4avqdrglsnoidwr252wcgag7wndag54ucjg4yme44hvshuym7bm"
},
"mimeType": "image/webp",
"size": 366524
},
"description": "Ein Vulnerability Report kam rein: angeblich Terrapin (CVE-2023-48795) auf meinem SSH-Server. Stellte sich raus: fremder Server per CNAME aliased, JavaScript-Typ im Template vergessen. Trotzdem ein guter Anlass zu security.txt und Umgang mit solchen Hinweisen.",
"path": "/2025/02/17/sicherheitsluecken-melden-mein-umgang-mit-einem-vulnerability-report/",
"publishedAt": "2026-05-21T14:23:01.000Z",
"site": "https://www.kernel-error.de",
"tags": [
"Encryption",
"Hacking",
"Hardening",
"InfoSec",
"Security",
"SSH",
"Sysadmin",
"VulnerabilityReport",
"Vulnerability Report",
"security.txt",
"securitytxt.org",
"Wikipedia",
"BSI Allianz für Cybersicherheit",
"SSH-Konfiguration",
"Einfach melden."
],
"textContent": "Vor Kurzem habe ich einen Vulnerability Report erhalten. Ich freue mich über solche Hinweise. Sie helfen mir, mein Setup zu verbessern, bevor jemand eine Schwachstelle tatsächlich ausnutzt.\n\n### Der Report\n\n\n Subject: Vulnerability Report: Vulnerable System Detected at openpgpkey.kernel-error.com\n\n Hello Team,\n\n I have identified a security issue in your system related to a vulnerability\n (CVE-2023-48795) in Terrapin.\n\n Vulnerability Details:\n - CVE Identifier: CVE-2023-48795\n - Vulnerability Type: javascript\n - Severity: medium\n - Host: openpgpkey.kernel-error.com\n - Affected Port: 22\n\n [...]\n\n Best Regards,\n Security Team\n\n### Erste Einschätzung\n\nTerrapin hatte ich eigentlich schon überall gepatcht. Dann der Hinweis auf `openpgpkey.kernel-error.com`. Die Domain existiert als CNAME und gehört zur Web Key Directory (WKD), damit GPG-Keys automatisiert abgerufen werden können. Ich habe das als CNAME zu `wkd.keys.openpgp.org` angelegt, weil dieser Keyserver eine E-Mail-Validierung beim Hochladen durchführt.\n\nDer betroffene SSH-Server gehört also gar nicht zu meiner Infrastruktur. Ich kann selbst nichts tun.\n\n**Vulnerability Type: JavaScript** bei einem SSH-Problem auf Port 22? Der Finder hat vermutlich sein Standard-Template benutzt und nicht angepasst. Aber ich wollte trotzdem prüfen, ob seine Einschätzung zum SSH-Server zutrifft:\n\n\n # ssh-audit openpgpkey.kernel-error.com (gekürzt)\n (gen) banner: SSH-2.0-OpenSSH_8.4p1 Debian-5+deb11u3\n (gen) software: OpenSSH 8.4p1\n\n (cve) CVE-2021-41617 -- (CVSSv2: 7.0) privilege escalation via supplemental groups\n (cve) CVE-2016-20012 -- (CVSSv2: 5.3) enumerate usernames via challenge response\n\n (kex) ecdh-sha2-nistp256 -- [fail] suspected NSA backdoor\n (kex) ecdh-sha2-nistp384 -- [fail] suspected NSA backdoor\n (kex) kex-strict-s-v00@openssh.com -- [info] Terrapin counter-measure present\n\n (key) ssh-rsa (2048-bit) -- [fail] broken SHA-1 hash algorithm\n (key) ecdsa-sha2-nistp256 -- [fail] suspected NSA backdoor\n\n (mac) hmac-sha1-etm@openssh.com -- [fail] broken SHA-1 hash algorithm\n (mac) hmac-sha1 -- [fail] broken SHA-1\n\nSieht tatsächlich nicht optimal aus. NIST-Kurven, SHA-1, 2048-Bit RSA. Der Hinweis war also nicht unberechtigt. Ich habe dem Finder freundlich und dankbar geantwortet, aber darauf hingewiesen, dass das System nicht zu meiner Infrastruktur gehört. Die relevanten WHOIS-Informationen zur IP habe ich mitgeschickt.\n\n### Die Antwort\n\n\n Thank you for your answer.\n\n Let me know if you need anything else from myside\n\n I hope this type of hard efforts deserves something reward\n\n„Hard efforts“. Ich will das nicht schlechtreden. Im beruflichen Umfeld hätte ich mich vielleicht sogar für eine Kleinigkeit stark gemacht. Aber hier geht es um meine private Infrastruktur, und dann noch mit dem JavaScript-Hinweis und der Meldung zu einem fremden System. Das wirkt oberflächlich. Also habe ich ihn freundlich darauf hingewiesen.\n\n### Wie man mit Vulnerability Reports umgehen sollte\n\nWenn euch eine solche Nachricht erreicht: Schnell und freundlich reagieren. Den Report ernst nehmen, bewerten und eine angemessene Rückmeldung geben. Die Mühe des Finders wertschätzen. Zwei Wochen später mit „Anzeige ist raus!“ zu antworten wäre der falsche Weg. Es ist für jemanden deutlich aufwendiger, eine Meldung zu schreiben, als das Ganze in ein Darknet-Forum zu posten und dort ein paar XMR einzusammeln.\n\nMacht es den Leuten einfach, euch zu kontaktieren. Eine security.txt oder klare Kontaktinformationen für eine Security-Mailbox helfen ungemein. Hauptsache, jemand kann seinen Report unkompliziert abgeben, und er wird von jemandem gelesen, der das bewerten kann.\n\nMehr zum Thema security.txt:\nsecuritytxt.org | Wikipedia | BSI Allianz für Cybersicherheit\n\n### Zum Vergleich: Mein eigener SSH-Server\n\nSo sieht meine SSH-Konfiguration von außen aus:\n\n\n # ssh-audit bsd01.kernel-error.de (gekürzt)\n (gen) banner: SSH-2.0-OpenSSH_9.7 DemMeisterSeinRennAuto\n (gen) software: OpenSSH 9.7\n\n (kex) sntrup761x25519-sha512@openssh.com -- [info] Post-Quantum Key Exchange\n (kex) curve25519-sha256 -- [info] default since OpenSSH 6.4\n (kex) diffie-hellman-group16-sha512 -- [info] available since OpenSSH 7.3\n (kex) kex-strict-s-v00@openssh.com -- [info] Terrapin counter-measure\n\n (key) ssh-ed25519 -- [info] available since OpenSSH 6.5\n\n (enc) aes256-gcm@openssh.com -- [info] available since OpenSSH 6.2\n (enc) aes128-gcm@openssh.com -- [info] available since OpenSSH 6.2\n\n (mac) hmac-sha2-256-etm@openssh.com -- [info] available since OpenSSH 6.2\n (mac) hmac-sha2-512-etm@openssh.com -- [info] available since OpenSSH 6.2\n\nKeine NIST-Kurven, kein SHA-1, kein RSA, Post-Quantum Key Exchange mit sntrup761. Nur Ed25519 als Host Key. Der Banner ist übrigens Absicht.\n\nFragen? Einfach melden.",
"title": "Sicherheitslücken melden: Mein Umgang mit einem Vulnerability Report"
}